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本 书 对 信息 安全 涉及 的 各 个 层面 进行 了 梳理 和 论证 ,并 讨论 了 与 安全 技术 和 产品 相关 的 内 容 , 充 分 
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等 方面 系统 地 论述 了 如 何 解决 信息 技术 应 用 所 带 来 的 信息 安全 问题 。 本 书 也 对 信息 安全 体系 结构 的 概 
念 进行 了 详细 分 析 和 论述 ,并 对 构建 信息 安全 体系 结构 的 关键 三 要 素 ( 人 、 技 术 和 管理 ) 之 间 的 关系 进行 
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币 版 说明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增加 ,但 我 国 
目前 信息 安全 人 才 极度 匮乏 , 远 远 不 能 满足 金融 .商业 公安、 军事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信物 理 , 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 
育 专业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 ”编审 委 
员 会 ,由 我 国信 息 安 全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,共同 指导 
“高 等 院 校 信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指 
导 原 则 ,认真 研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 , 进 
行 了 大 量 前 瞻 性 的 研究 工作 ,而且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 
发 展 不 断 深 入 。 经 过 编 委 会 全 体委 员 及 相关 专家 的 推荐 和 审定 ,确定 了 本 从 
书 首 批 教材 的 作者 ,这 些 作者 绝 大 多 数 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 
诺 、 又 在 教学 第 一 线 有 丰富 的 教学 经 验 的 学 者 ,专家 。 

本 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 ， 

@ 体系 完整 .结构 合理 内容 先进 。 

@ 适应 面 广 : 能 够 满足 信息 安全 计算机、 通信 工程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

@ 立体 配套 : 除 主 教材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 。 
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@ 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

为 了 保证 出 版 质量 ,我们 坚持 宁 缺 姓 滥 的 原则 ,成熟 一 本 ,出 版 一 本 ,并 保持 不 断 更 
新 ,力求 将 我 国信 息 安全 领域 教育 科研 的 最 新 成 果 和 成 熟 经 验 反映 到 教材 中 来 。 在 全 力 
做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审定 , 遵 选 了 一 批 国外 信息 
安全 领域 优秀 的 教材 加 入 到 本 系列 教材 中 ,以 进一步 满足 大 家 对 外 版 书 的 需求 。 热 切 期 
望 广大 教师 和 科研 工作 者 加 入 我 们 的 队伍 ,同时 也 欢迎 广大 读者 对 本 系列 教材 提出 宝贵 
意见 ,以 便 我 们 对 本 系列 教材 的 组 织 、 编 写 与 出 版 工作 不 断 改进 ,为 我 国信 息 安 全 专业 的 
教材 建设 与 人 才 培 养 做 出 更 大 的 贡献 。 

“高 等 院 校 信息 安全 专业 系列 教材 "已 于 2006 年 初 正式 列 人 普通 高 等 教育 “十 一 五 ” 
国家 级 教材 规划 ( 见 教 高 [2006]9 号 文件 (教育 部 关于 印发 普通 高 等 教育 “十 一 五 ”国家 级 
教材 规划 选 题 的 通知 》)) 。 我 们 会 严 把 出 版 环节 ,保证 规划 教材 的 编校 和 印刷 质量 ,按时 完 
成 出 版 任务 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 又 第 一 次 会 
议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 主任 单 
位 北京 工业 大 学 和 北京 电子 科技 学 院 主办 ,清华 大 学 出 版 社 协 办 。 教 育 部 高 等 学 校 信息 
安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安全 专业 的 发 展 将 起 到 重要 的 指导 和 推动 
作用 。“ 高 等 院 校 信息 安全 专业 系列 教材 ”将 在 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 
委员 会 的 组 织 和 指导 下 ,进一步 体现 科学 性 .系统 性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 
建设 的 新 成 果 , 并 随 着 我 国信 息 安 全 学 科 的 发 展 不 断 修订 和 完善 。 

我 们 的 E-mail 地 址 是 ; jsjjc_zhangy@126. com; 联 系 人 : 张 表 。 
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本 书 序 一 


21 世纪 ,人 类 社会 已 进入 信息 时 代 。 信 息 时 代 的 重要 特征 是 信息 的 获 
取 , 传 输 、 处 理 等 的 高 速 发 展 。 伴 随 信 息 化 的 发 展 ,信息 安全 作用 更 加 突出 
成 为 全 球 关注 的 热点 问题 。 为 培养 高 层次 信息 安全 人 才 ,我国 的 一 些 高 等 院 
校 设置 了 信息 安全 专业 ,并 出 版 了 或 准备 出 版 一 系列 信息 安全 教材 。 冯 登 国 
教授 等 编著 的 (信息 安全 体系 结构 ) 是 高 等 院 校 信 息 安全 专业 规划 教材 之 一 。 
这 是 一 本 具有 系统 性 ,先进 性 和 实用 性 等 鲜明 特点 的 教材 。 

(1) 系统 性 。 信 息 安全 的 发 展 ,人 们 已 认识 到 它 不 仅 是 安全 技术 和 产品 的 
问题 ,而 是 一 个 涉及 信息 安全 策略 ,整体 架构 完整 流程 以 及 涵盖 技术 、 产 品 、 人 
员 、 过 程 .管理 等 诸多 因素 的 复杂 系统 。 本 书 从 信息 安全 整体 性 出 发 ,系统 论述 
了 信息 安全 的 体系 结构 规划 和 设计 ,技术 支撑 ,产品 ,标准 ,管理 ,人 员 等 各 个 方 
面 以 及 它们 之 间 的 关联 ,使 读者 能 从 更 高 的 层次 上 去 领会 信息 安全 问题 。 

(2) 先进 性 。 信 息 领 域 的 对 抗 是 一 个 永恒 的 命题 ,信息 安全 是 一 个 不 断 
发 展 的 过 程 , 它 不 会 永远 停留 在 一 个 水 平 上 。 研 究 信息 安全 问题 不 仅 要 能 满 
足 当前 的 需求 ,而且 要 求 在 信息 安全 问题 迅速 变化 中 及 时 适应 新 的 要 求 。 该 
书 在 每 个 部 分 不 仅 系统 介绍 了 当前 的 发 展 状 况 ,而 且 分 析 了 它们 的 发 展 趋 
势 ,这 对 启发 读者 的 思考 是 十 分 重要 的 。 

(3) 实用 性 。 理 论 联系 实际 是 学 习 的 一 条 重要 原则 。 本 书 为 帮助 读者 
全 面 了 解 信息 安全 的 应 用 状况 ,较为 系统 、 完 整地 介绍 了 国内 外 信息 安全 相 
关 的 技术 标准 管理 标准 和 法 律 法 规 ,介绍 了 国外 的 人 员 能 力 成 熟 度 模型 ,还 
提供 了 若干 信息 安全 应 用 案例 ,内 容 丰 富 , 可 读 性 强 。 

以 上 这 些 特点 ,反映 了 《信息 安全 体系 结构 ) 是 一 本 很 好 的 信息 安全 教 
材 , 相 信 它 的 出 版 定 会 引起 读者 的 广泛 兴趣 。 


葵 吉 人 
中 国 工程 院 院 士 


Mp _ 全 
用 二 一 


21 世纪 以 来 , 随 着 信息 技术 的 不 断 革新 和 广泛 应 用 ,人 类 社会 已 经 步 人 
真正 的 信息 时 代 。 信 息 技 术 使 我 们 的 工作 更 为 便捷 ,生活 更 加 舒适 ,获取 信 
息 的 途径 空前 地 增多 。 然 而 ,我 们 不 得 不 关注 我 们 现在 究竟 生活 在 一 个 什么 
样 的 信息 社会 中 ?我们 每 天 接触 的 形式 多 样 ,功能 或 简单 或 复杂 的 信息 系统 
与 信息 网 络 是 否 具备 令 人 满意 的 安全 性 和 可 靠 性 ? 是 否 能 够 及 时 为 我 们 提 
供 正常 的 服务 ? 我 们 对 这 些 网 络 与 信息 系统 产生 如 此 高 度 的 依赖 性 ,是 否 会 
在 未 来 的 某 个 时 刻 使 我 们 的 生活 陷入 困境 ?是 否 会 像 某 些 科 幻 片 里 讲述 的 
那样 ,人 类 费 尽心 血 不 断 尝试 和 改进 的 技术 ,对 人 类 的 发 展 而 言 也 会 带 来 无 
法 控制 的 灾难 ? 

不 断 地 有 来 自 世 界 各 地 的 报道 ,表明 这 种 依赖 的 确 面临 风险 。 北 美 大 断 
电 , 海 底 电缆 故障 ,航空 系统 瘫痪 ,计算 机 病毒 泛滥 , 数 以 万 计 的 信用 卡 账户 
信息 被 盗 …… 即 使 在 中 国 , 近 些 年 来 类 似 的 事件 也 层出不穷 ,危害 明显 增 大 。 
几 十 年 前 ,信息 安全 研究 与 应 用 主要 局 限于 军队 和 某 些 特殊 需要 。 那 时 ,很 
少 有 人 会 预料 到 ,今天 会 有 那么 多 种 类 的 信息 安全 产品 “飞人 ”到 寻常 百 
姓 家 。 

那么 , 面 对 这 种 变化 , 面 对 这 些 事件 , 面 对 这 些 网 络 和 信息 系统 ,人 们 在 
反思 : 究竟 应 该 如 何 设计 、 建 设 它们 ? 如何 对 它们 自身 及 其 用 户 进行 必要 的 
管理 ?” 如何 让 我 们 精心 研究 .设计 和 开发 的 技术 与 产品 帮助 我 们 更 方便 、 快 
捷 地 工作 ,更 舒心 .民意 地 生活 ? 

本 书 试图 从 体系 结构 规划 与 设计 、 相 关 技术 与 产品 的 设计 和 应 用 等 方面 
回答 这 个 问题 。 此 外 ,鉴于 信息 安全 管理 的 重要 性 日 益 显著 , 书 中 也 覆盖 了 
与 之 相关 的 研究 内 容 , 尤 其 是 有 关 风 险 评估 等 级 保护 、 信 息 安全 管理 体系 建 
设 等 方面 的 内 容 。 

19 世纪 英国 著名 的 哲学 家 、 社 会 学 家 和 教育 学 家 赫 ， 斯 宾 塞 说 过 :“ 科 
学 是 系统 化 了 的 知识 ”。 本 书 在 写作 过 程 中 ,也 一 直 希 望 能 够 对 信息 安全 体 
系 结构 所 涉及 的 各 方面 内 容 进 行 梳理 ,尤其 是 涉及 技术 与 产品 的 内 容 。 然 
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而 ,鉴于 信息 安全 研究 不 断 深入 ,技术 挑战 快速 出 现 ,以 及 相关 产业 的 迅速 跟 进 ,我 们 只 能 
力所能及 地 挑选 现 阶段 相对 成 熟 . 具 有 代表 性 的 内 容 进行 介绍 。 书 中 内 容 没有 涉及 一 些 
新 技术 .新 产品 ,例如 , 反 垃 圾 邮件 技术 与 产品 ` 反 间谍 软件 技术 与 产品 IT 审计 技术 与 产 
品 (服务 ) ,以 及 其 他 许多 集成 有 信息 安全 功能 的 技术 与 产品 (例如 , 带 有 SSL 安全 通信 功 
能 的 安全 负载 均衡 设备 ) 。 

本 书 多 次 作为 中 国 科学 院 研究 生 院 开 设 的 研究 生 课程 “信息 安全 体系 结构 ”的 授课 教 
材 加 以 使 用 。 选 修 该 课程 的 研究 生 们 提出 了 许多 宝贵 意见 ,尤其 是 李 立 . 马 强 、 宋 遍 鹿 , 张 
辰 、 黄 非 、 薄 立 兴 、 杨 清 峰 、 周 其 , 张 铁 赢 , 卢 山 、 陈 波 、 韩 钰 . 崔 兴 华 . 周 志 勇 、 初 晓 博 、 李 昊 、 
魏 冰 、 吴 微微 、 黄 亮 、 王 雷 、 孙 彬 、 敬 成 . 付 允 等 ,部 分 内 容 借鉴 了 他 们 的 作业 报告 ,在 此 表示 
衷心 的 感谢 ,这 些 教学 实践 对 本 书 的 形成 具有 十 分 重要 的 意义 。 

爱 因 斯 坦 有 名 名言, 学 校 的 目标 始终 应 当 是 : 青年 人 在 离开 学 校 时 ,是 作为 一 个 和 
谐 的 人 ,而 不 是 作为 一 个 专家 ”。 我 们 真心 希望 ,这 些 研 究 生 们 ,以 及 认真 阅读 这 本 书 的 所 
有 读者 ,都 能 够 在 成 为 一 个 和 谐 的 人 的 基础 上 ,对 信息 安全 体系 结构 的 知识 有 一 个 较为 全 
面 的 了 解 ,并 在 今后 的 学 习 和 工作 中 学 以 致 用 ,尽快 地 成 长 为 信息 安全 某 个 具体 领域 的 专 
家 ,为 我 国 的 信息 安全 事业 作出 贡献 。 

本 书 在 写作 过 程 中 得 到 了 清华 大 学 出 版 社 的 大 力 支持 和 国家 重点 基础 研究 发 展 规划 
项 目 (项 目 编号 : 2007CB311202) 的 资助 ,也 得 到 了 业界 同行 的 鼓励 和 帮助 ,在 此 表示 圳 
心 的 感谢 。 
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1.1 ”基本 概念 


111 体系 结构 


什么 是 体系 结构 ? 它 是 由 英文 单词 architecture 翻译 而 来 。 在 英语 中 ,architecture 
最 常用 的 解释 就 是 "建筑"。 可 见 , 与 任何 一 个 “建筑 ” 相 类 似 , 一 个 体系 结构 应 该 包括 一 组 
组 件 以 及 组 件 之 间 的 联系 。 从 系统 工程 的 观点 来 看 ,任何 复杂 的 系统 都 是 由 相对 简单 的 、 
具有 层次 结构 的 基本 元 素 组 成 。 这 些 基 本 元 素 彼 此 之 间 存 在 着 复杂 的 相互 作用 , 某 些 元 
素 还 可 能 具有 非常 复杂 的 内 部 结构 。 

上 述 的 朴素 解释 能 够 帮助 我 们 理解 体系 结构 的 重点 所 在 , 即 元 素 及 其 关系 。 在 更 为 
严格 的 学 术 意义 上 的 解释 中 ,各 类 体系 结构 的 侧重 点 不 一 而 同 地 都 落 在 “元素 及 其 关系 ” 
这 几 个 看 似 简单 的 字 上 。 例 如 ,ANSI/IEEE STD 1471-2000 使 用 的 体系 结构 的 定义 是 ， 
“一 个 系统 的 基本 组 织 , 通 过 组 件 、 组 件 之 间 和 组 件 与 环境 之 间 的 关系 以 及 管理 其 设计 和 
演变 的 原则 具体 体现 .” 这 里 , “组件 ” 即 前 面 所 说 的 元素”“ 组 件 之 间 和 组 件 与 环境 之 间 
的 关系 ” 即 前 面 强 调 的 "关系 ”。 

1964 年 ,G. Amdahl 首次 提出 了 “体系 结构 ”的 概念 。 这 一 概念 的 产生 促使 人 们 对 计 
算 机 系统 开始 有 了 统一 而 清晰 的 认识 ,并 进一步 为 计算 机 系统 的 设计 与 开发 商定 了 基础 。 
四 十 多 年 过 去 了 ,体系 结构 已 经 与 系统 软件 .应 用 软件 和 程序 设计 语言 有 了 紧密 结合 ， 
且 相 互 作用 。 伴 随 着 计算 机 科学 、 网 络 与 通信 技术 的 飞速 发 展 ,围绕 体系 结构 的 研究 与 应 
用 也 得 以 迅速 发 展 ,内 涵 和 外 延 都 得 到 了 极 大 的 丰富 ,涉及 网 络 计算 ,芯片 设计 、 信 息 安全 
产品 研发 与 应 用 等 领域 。 例 如 ,网 络 计算 体系 结构 已 经 成 为 一 种 主要 的 计算 模式 , 忌 片 级 
体系 结构 的 研究 也 是 当前 一 个 具有 很 大 挑战 性 的 问题 。 

目前 ,对 于 体系 结构 的 定义 ,结合 前 面 的 最 基本 定义 ,不 同 的 机 构 有 着 不 尽 相 同 的 具 
体 定义 。 例 如 ,信息 管理 体系 结构 (TAFIM) 提 出 了 一 个 技术 体系 结构 的 定义 , 即 “ 组 件 、 
接口 .服务 及 其 相互 作用 的 框架 ”, 从 软件 工程 的 角度 提出 了 描述 信息 系统 的 四 个 视图 , 即 
“计算 视图 数据 管理 视图 、 通 信和 视图 、 安 全 视图 ”"。 开 放 组 织 体系 结构 框架 (TOGAF) 认 
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为 体系 结构 包括 基础 体系 结构 标准 信息 库 和 体系 结构 开发 方法 (ADM) ,并 在 此 基础 上 
定义 了 体系 结构 描述 标记 语言 ADML。IEEE 的 体系 结构 计划 研究 组 (APG) 指 出 ,体系 
结构 可 以 被 认为 是 “组 件 十 连接 关系 十 约束 规则 ”, 并 建议 针对 体系 结构 的 描述 建立 指导 
性 文档 。 

一 般 来 说 ,最 常见 的 关于 体系 结构 的 分 类 是 将 其 分 为 硬件 体系 结构 和 软件 体系 结构 
两 大 类 。 

硬件 体系 结构 的 定义 由 计算 机 科学 中 的 计算 机 体系 结构 发 展 而 来 。 在 计算 机 科学 
中 ,硬件 体系 结构 通常 包含 了 计算 机 组 成 原理 与 设计 、 计 算 机 系统 结构 .数字 逻辑 与 数字 
电路 等 一 系列 内 容 。 其 中 ,计算 机 组 成 原理 与 设计 是 指 根据 各 种 计算 模型 研究 计算 机 的 
工作 原理 ,并 按照 器 件 .设备 和 工艺 条 件 来 设计 、 制 造 具体 的 计算 机 ;计算 机 系统 结构 是 指 
对 计算 机 系统 的 软件 、 硬 件 功 能 进行 分 配 ;数字 逻辑 与 数字 电路 主要 涉及 数 制 `. 码 制 和 好 
辑 代 数 , 以 逻辑 代数 为 工具 ,对 各 类 组 合 电路 .同步 时 序 电 路 .异步 时 序 电路 的 基本 逻辑 单 
元 进行 分 析 和 设计 ,并 对 存储 器 和 可 编程 逻辑 器 件 的 性 能 和 特点 进行 刻画 。 由 于 这 里 提 
到 的 各 种 “元 素 ", 大 多 是 客观 可 见 的 组 件 ,例如 ,逻辑 电路 元 器 件 。 总 的 来 说 ,硬件 体系 结 
构 比较 容易 理解 。 

随 着 各 种 计算 机 硬件 产品 (例如 ,硬件 防火 墙 \ 硬 件 VPN 等 ) 的 出 现 ,硬件 体系 结构 
不 再 局 限于 计算 机 科学 领域 ,而 是 成 为 这 些 多 样 化 的 硬件 产品 设计 ,实现 ,应 用 和 维护 过 
程 中 不 断 出 现 的 术语 , 指 的 是 这 些 硬件 的 物理 组 成 部 件 及 其 相互 关系 。 当 然 , 这 里 的 “ 物 
理 组 成 部 件 ” 与 计算 机 体系 结构 中 的 “元 素 ” 有 很 多 相同 之 处 。 

通俗 地 讲 , 软 件 体 系 结构 指 的 是 软件 系统 在 其 分 析 和 设计 过 程 中 确立 的 系统 中 基本 
元 素 相互 作用 的 方式 。 这 些 基本 元 素 是 实现 软件 系统 功能 必须 的 元 素 。 严 格 地 讲 , 软 件 
体系 结构 是 具有 一 定形 式 的 结构 化 元 素 , 即 构件 的 集合 ,包括 处 理 构 件 、 数 据 构 件 和 连接 
构件 。 处 理 构件 负责 对 数据 进行 加 工 , 数 据 构 件 是 被 加 工 的 信息 ,连接 构件 把 体系 结构 的 
不 同 部 分 组 合 连 接 起 来 。 这 一 定义 注重 区 分 处 理 构件 ,数据 构件 和 连接 构件 ,这 一 方法 在 
其 他 的 定义 和 方法 中 基本 上 得 到 了 保持 。 

与 上 述 分 类 方法 不 同 的 是 ,信息 系统 体系 结构 则 不 再 区 分 为 硬件 和 软件 ,而 是 从 信息 
系统 设计 与 开发 的 角度 ,考虑 其 组 成 元 素 及 其 彼此 间 的 关联 和 相互 作用 。 

另外 一 个 经 常 出 现 的 相关 概念 是 企业 体系 结构 (EA)。 这 是 帮助 一 个 企业 理解 自己 的 
组 成 结构 及 其 原理 的 概念 性 工具 。 企 业 体 系 结构 提供 了 企业 的 结构 图 ,是 企业 业务 和 技术 
变化 的 规划 工具 。 一 般 来 说 ,企业 体系 结构 表现 为 一 整套 相互 关联 的 模型 ,这 些 模 型 描述 了 
企业 的 结构 和 功能 。 企 业 体系 结构 主要 用 于 系统 化 的 信息 技术 规划 和 架构 ,以 及 对 它们 进 
行 改 进 的 决策 过 程 。EA 中 的 各 个 模型 以 逻辑 方式 排列 ,可 以 使 企业 的 详细 信息 处 于 不 断 
增长 的 过 程 中 。 这 些 信息 包括 目的 和 目标 过 程 和 组 织 、 系 统 和 数据 以 及 使 用 的 技术 。 
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体系 结构 有 以 下 六 种 基本 的 模式 。 

1) 管道 和 过 滤器 

在 这 种 模式 下 ,每 个 组 件 具 有 输入 和 输出 的 数据 流 集 合 ,从 该 集合 的 某 个 数据 流 中 读 
数据 作为 输入 ,产生 输出 数据 流 ,整个 系统 可 以 被 看 成 多 个 过 滤器 复合 形成 的 数据 处 理 组 
件 。 一 个 最 著名 的 实例 是 UNIX 的 shell 编程 ,多 个 对 数据 进行 处 理 的 程序 (组 件 ) 通 过 
管道 联结 起 来 ,产生 总 和 的 效果 。 另 一 个 例子 是 传统 的 编译 器 , 源 代码 经 过 词法 分 析 、 语 
法 分 析 、 中 间 代 码 生 成 .目标 代码 生成 等 步骤 生成 输出 的 目标 代码 。 

2) 数据 抽象 和 面向 对 象 

在 这 种 模式 下 ,数据 和 数据 上 的 操作 被 封装 成 抽象 数据 类 型 或 者 对 象 。 系 统 由 大 量 
的 对 象 组 成 ,在 物理 上 ,对象 之 间 通 过 函数 或 者 过 程 调用 相互 作用 ;在 逻辑 上 ,对象 之 间 通 
过 集成 .复合 等 方式 实现 设计 的 复 用 。 

3) 事件 驱动 

它 是 上 述 第 二 种 模式 的 一 种 变形 。 在 这 种 模式 下 ,系统 同样 是 由 大 量 的 对 象 组 成 的 ， 
但 是 对 象 之 间 的 交互 不 是 通过 明确 指明 对 象 的 函数 或 者 过 程 调用 进行 的 ;相反 ,系统 提供 
事件 的 创建 和 发 布 的 机 制 , 对 象 产 生 事 件 , 一 个 或 者 多 个 对 象 通过 向 系统 注册 关注 这 个 事 
件 并 由 此 触发 出 相应 的 行为 或 者 产生 新 的 事件 。 一 个 最 著名 的 例子 是 GUI 的 模型 , 鼠 
标 、 键 盘 或 者 其 他 输入 设备 产生 各 种 事件 ,窗口 ,程序 或 者 其 他 对 象 由 这 些 事件 所 触发 , 产 
生 新 的 事件 .进行 数据 处 理 或 者 其 他 操作 。 

4) 分 层次 

这 种 模式 将 系统 功能 和 组 件 分 成 不 同 的 功能 层次 ,一 般 而 言 ,只 有 最 上 层 的 组 件 和 功 
能 可 以 被 系统 外 的 使 用 者 访问 ,只 有 相 邻 的 层次 之 间 才 能 够 有 函数 调用 。ISO 的 开放 系 
统 互 连 (OSI) 参 考 模型 是 最 著名 的 层次 模型 的 例子 ,通过 将 开放 系统 的 功能 和 组 件 划分 
成 7 个 层次 ,定义 清晰 的 (很 多 时 候 是 过 于 复杂 的 ) 层 次 之 间 的 接口 ,实现 复杂 的 互 操 
作 性 。 

5) 知识 库 

这 种 模式 使 用 一 个 中 心 数据 结构 表示 系统 的 当前 状态 ,一 组 相互 独立 的 组 件 在 中 心 
数据 库 上 进行 操作 。 如 果 组 件 负 责 对 中 心 数 据 进行 选择 ,处 理 , 这 种 体系 就 是 传统 的 数据 
库 模 型 ;如果 中 心 数据 结构 自主 地 引发 一 系列 的 行为 , 则 这 种 体系 可 以 被 看 成 一 个 黑板 模 
型 。 大 量 的 传统 数据 库 应 用 程序 实际 上 就 是 这 一 体系 的 具体 实例 。 

6) 解释 器 

这 种 模式 提供 面向 领域 的 一 组 指令 (语言 ), 系 统 解释 这 种 语言 ,产生 相应 的 行为 ,用 
户 使 用 这 种 指令 (语言 ) 完 成 复杂 的 操作 。 大 量 的 开发 工具 .二 次 开发 工具 体现 了 这 一 思 
想 。 例 如 ,Microsoft 公司 在 其 产品 中 大 量 使 用 的 Visual Basic for Application ,以 及 在 
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AutoDesk 产品 中 大 量 使 用 的 AutoLisp 语言 ,实际 上 就 是 给 用 户 提供 了 一 种 面向 领域 的 
语言 ,然后 核心 解释 执行 这 一 语言 的 指令 和 指令 序列 。 从 而 扩充 产品 的 功能 ,方便 用 户 按 
照 自己 的 需要 定制 系统 。 

这 六 种 模式 各 有 优点 和 缺点 。 最 常用 的 是 严格 的 层次 结构 .事件 驱动 的 结构 .知识 库 
的 结构 和 基于 解释 器 的 结构 。 

在 严格 的 层次 结构 中 ,系统 可 以 被 清楚 地 分 解 成 为 不 同 的 功能 层次 ,例如 ,基本 的 图 
形 库 ,提供 不 同 层次 的 绘图 接口 。 这 种 体系 结构 适合 于 系统 的 功能 相对 简单 ,并 且 可 以 按 
照 复 杂 的 程度 .抽象 的 程度 和 硬件 平台 的 关系 等 方面 的 特性 加 以 分 层 的 软件 中 。 

事件 驱动 的 结构 适用 于 对 互 操作 性 、 特 别 是 异 构 环 境 下 的 互 操作 性 要 求 非常 高 的 
情况 。 当 整个 系统 中 存在 大 量 的 并 发 的 \ 相 互 之 间 没 有 逮 辑 联系 的 组 件 的 时 候 可 以 使 
用 这 种 体系 结构 。 现 代 软 件 技术 中 微软 的 COM 和 ISO 的 CORBA 实际 上 都 采用 了 这 
种 体系 结构 。 

知识 库 的 结构 适用 于 以 大 量 数据 为 核心 的 系统 ,例如 ,人 工 智 能 的 应 用 系统 。 如 果 将 
面向 对 象 和 层次 化 的 思想 引入 知识 库 系统 中 ,将 得 到 一 种 非常 强大 的 体系 结构 。 

基于 解释 器 的 结构 适用 于 应 用 系统 和 用 户 的 交互 非常 复杂 的 情况 。 只 有 将 系统 的 基 
本 操作 以 指令 的 形式 提供 给 用 户 ,同时 ,提供 一 种 简单 明了 的 语法 和 基本 的 数据 操作 、 处 
理 的 功能 ,才能 得 到 功能 最 强大 、 最 灵活 .具有 最 佳 扩充 性 的 应 用 系统 。 例 如 ,浏览 器 的 设 
计 就 采用 了 这 种 结构 。 最 初 ,浏览 器 只 是 完成 下 载 和 显示 HTML 页 面 的 简单 工作 , 随 着 
用 户 对 界面 交互 要 求 的 提高 才 开发 出 Javascript 这 种 脚本 语言 提供 功能 扩展 。 

在 更 多 的 实际 应 用 中 ,经 常 综合 采用 上 面 几 种 体系 结构 ,我 们 将 其 称 为 复合 体系 结 
构 。 例 如 ,可 以 在 系统 的 某 几 个 部 分 中 采用 一 种 体系 结构 ,而 在 其 他 部 分 采用 另外 的 体系 
结构 。 在 实际 的 系统 分 析 和 设计 过 程 中 ,可 能 首先 将 整个 系统 作为 一 个 功能 整体 进行 分 
析 和 加 以 权衡 ,得 出 最 上 层 的 合理 的 体系 结构 。 如 果 其 中 的 某 些 元 素 比较 复杂 ,可 以 对 
这 些 元 素 继续 进行 分 解 ,得 到 一 个 局 部 的 体系 结构 。 在 分 析 和 设计 阶段 ,关注 的 重点 应 该 
是 系统 的 总 体 结构 ,避免 过 多 地 关注 具体 的 实现 细节 (例如 ,所 应 引入 和 使 用 的 语言 .具体 
需要 的 技术 等 )。 

借鉴 软件 工程 中 的 相关 知识 ,对 体系 结构 的 描述 经 常 采用 视图 的 方法 ,并 且 主 要 有 三 
类 视图 , 即 物 理 视 图 .逻辑 视图 和 概念 视图 。 体 系 结构 中 的 每 一 层 都 可 能 有 多 个 视图 ,而 
且 事 实 的 确 如 此 。 体 系 结构 设计 师 需 要 结合 与 体系 结构 设计 相关 的 功能 要 求 ,操作 要 求 ， 
选择 采用 合理 的 模式 进行 设计 和 开发 工作 。 例 如 ,对 于 应 用 程序 结构 设计 师 而 言 ,每 个 应 
用 程序 通常 都 会 有 一 个 逻辑 应 用 程序 结构 。 这 些 视图 由 一 组 需求 来 驱动 , 反 过 来 又 会 生 
成 设计 、 开 发 .配置 和 运作 过 程 及 系统 的 输入 ,如 图 1-1-1 所 示 。 
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设计 模式 | ~| 应 用 程序 | | 数据 中 心 


1 1 


上 本 设备 的 网 络 


图 1-1-1 应 用 程序 体系 结构 中 的 视图 


112 信息 安全 体系 结构 


这 里 所 说 的 信息 安全 体系 结构 是 针对 信息 系统 而 言 的 。 一 般 地 ,信息 系统 的 安全 
体系 结构 是 系统 信息 安全 功能 定义 .设计 ,实施 和 验证 的 基础 。 该 体系 结构 应 该 在 反 
映 整个 信息 系统 安全 策略 的 基础 上 ,描述 该 系统 安全 组 件 及 其 相关 组 件 相互 间 的 逻辑 
关系 与 功能 分 配 。 这 种 描述 的 合理 性 和 准确 性 将 直接 关系 信息 系统 安全 策略 的 实现 
效果 。 

结合 上 述 基 本 定义 ,研究 机 构 X/Opengroup 认为 ,信息 系统 的 安全 体系 结构 是 系统 
整体 体系 结构 描述 的 一 部 分 ,应 该 包括 一 组 相互 依赖 .协作 的 安全 功能 相关 元 素 的 最 高 层 
描述 与 配置 ,这 些 元 素 共同 实施 系统 的 安全 策略 。 

美国 国防 部 则 开展 了 更 为 全 面 的 研究 工作 。1996 年 , 它 结合 以 往 的 工作 经 验 和 实际 
需求 ,在 一 项 研究 中 将 信息 安全 体系 结构 分 成 了 四 类 ,各 类 结构 的 定义 和 特点 如 下 。 

1) 抽象 的 安全 体系 结构 

描述 安全 需求 ,定义 安全 策略 ,选择 相应 的 安全 服务 /功能 ,在 抽象 定义 的 信息 系统 体 
系 结构 的 组 件 之 间 分 配 安全 功能 。 

2) 通用 的 安全 体系 结构 

基于 抽象 的 安全 体系 结构 ,定义 通用 类 型 的 安全 组 件 和 允许 使 用 的 标准 ,并 为 其 应 用 
确立 必要 的 指导 原则 ;在 安全 服务 /功能 分 配 的 基础 上 ,定义 实现 一 定安 全 强度 的 安全 服 
务 类 型 和 安全 机 制 。 
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3) 逻辑 的 安全 体系 结构 

为 某 种 真实 .具体 的 安全 需求 而 设计 ,是 在 具体 环境 中 应 用 通用 的 安全 体系 结构 的 实 
例 , 同 时 必须 分 析 实 施 代价 。 

4) 具体 的 安全 体系 结构 

关注 组 件 .接口 .标准 .性 能 .代价 ,展示 所 有 选择 的 组 件 、. 机 制 .规则 等 如 何 结合 并 满 
足 特定 系统 的 安全 需求 。 

围绕 上 述 定义 和 分 类 ,许多 研究 机 构 .技术 组 织 ,以 及 美国 国防 部 之 类 的 国家 性 机 构 ， 
相继 进行 了 进一步 的 研究 活动 ,并 在 其 相应 的 标准 化 或 技术 实践 中 表达 了 各 自 的 观点 。 

其 中 ,国际 标准 化 组 织 和 国际 电工 委员 会 提出 了 所 谓 的 “OSI 安全 体系 结构 ,结合 
著名 的 开放 系统 互 连 模型 (OSI 参考 模型 ) ,认为 安全 体系 结构 应 该 是 安全 服务 与 安全 机 
制 的 一 般 性 描述 ,说 明 怎样 将 安全 服务 映射 到 网 络 层次 结构 中 ,简单 讨论 了 这 些 安全 服务 
在 其 中 的 适当 层次 ,应 该 包括 可 信 功 能 度 、 安 全 标签 事件 检测 ,安全 审计 跟踪 、 安 全 恢复 
等 与 安全 管理 相关 的 普 适 性 机 制 。 

X/Opengroup 提出 了 一 种 “分 布 式 系统 安全 框架 (XDSF)”, 将 安全 功能 元 素 分 成 了 三 个 
层次 , 即 最 底层 的 密码 支持 硬件 或 软件 ,中 间 层 的 基本 安全 功能 (包括 认证 ,授权 、 审 计 等 )， 
最 上 层 的 ( 域 间 交 互 的) 安全 服务 (包括 特权 属性 服务 证书 服务 、 密 钥 分 发 .可 信 第 三 方 等 )。 
在 这 样 一 个 框架 中 ,安全 管理 覆盖 了 对 于 上 述 三 个 层次 中 所 有 安全 元 素 的 管理 。 

美国 国防 部 提出 的 “目标 安全 体系 结构 (DGSA)” 在 OSI 安全 框架 的 基础 上 ,从 物理 
组 成 的 角度 ,分 析 信息 系统 各 组 件 彼此 间 的 安全 功能 分 配 问题 。 在 该 结构 中 ,主要 的 物理 
组 成 实体 是 端 系统 .中 继 系统 传输 网 络 ,本 地 通信 系统 .本 地 用 户 环 境 ,安全 需求 则 是 在 
美国 国防 部 以 前 提出 的 信息 系统 安全 需求 基础 上 形成 的 一 定 层次 上 的 抽象 ,具体 包括 支 
持 多 种 信息 安全 策略 .采用 开放 系统 、 实 施 充分 的 保护 ,以 及 实现 共同 的 安全 管理 。 美 国 
的 信息 系统 防卫 局 (Defense Information Systems Agency，DISA) 提 出 的 美国 国防 部 信 
息 系 统 安全 计划 (DISSP) 认 为 信息 安全 体系 结构 应 该 是 一 个 三 维 的 矩阵 结构 框架 ,每 一 
维 分 别 代表 了 安全 属性 .OSI 协议 层 和 系统 组 件 。 但 是 这 样 一 个 矩阵 状 的 结构 框架 具有 
明显 的 局 限 性 。 首 先 ,系统 组 件 维 (包括 端 系统 接口 .网 络 系统 、 安 全 管理 ) 无 法 反映 网 络 
工程 中 的 实际 需求 ;其 次 ,安全 属性 维 也 无 法 表明 各 属性 之 间 的 逻辑 关系 。 

美国 国家 安全 局 在 信息 安全 体系 结构 的 研究 和 开发 中 进行 了 许多 尝试 。 它 与 合作 伙 
伴 提出 的 “DTOS 安全 体系 结构 ”作为 一 个 通用 系统 框架 ,采用 了 基于 安全 威胁 的 开发 方 
法 ,建立 在 Mach 微 内 核 上 ,由 一 个 管理 器 和 安全 服务 器 构成 。 这 样 一 个 体系 结构 在 设计 
上 具有 一 个 特点 , 即 以 分 离 方 式 实施 安全 判定 和 判定 结果 ,安全 判定 由 安全 服务 器 进行 ， 
而 安全 判定 结果 的 实施 由 管理 器 负责 。 所 以 , 它 能 够 支持 灵活 的 安全 策略 。 与 之 类 似 的 
是 ,在 与 犹他 大 学 合作 提出 的 Flask 安全 体系 结构 中 ,对 于 确定 的 客体 管理 器 和 安全 服务 
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器 这 两 类 子 系统 ,该 体系 结构 描述 了 其 相互 作用 和 各 自 组 件 的 安全 要 求 。 其 中 ,安全 服务 
器 进行 安全 策略 判定 ,客体 管理 器 负责 实施 判定 结果 。Flask 安全 体系 结构 可 以 支持 安 
全 策略 的 独立 性 和 动态 性 。 在 一 些 业 界 支 持 者 (主要 是 NAIT、SCC、MITRE) 的 协助 和 共 
同 努 力 下 ,美国 国家 安全 局 已 经 在 Linux 内 核 中 实现 了 Flask。 

另 一 个 值得 一 提 的 信息 安全 体系 结构 是 通用 数据 安全 体系 结构 (Common Data 
Security Architecture,CDSA)。 它 由 Intel 体系 结构 实验 室 (Intel Architecture Labs， 
IAL) 提 出 ,并 得 到 了 Apple、 Entrust、 Hewlett-Packard、IBM、 Motorola、 Netscape、 Sun、 
Trusted Information Systems 以 及 PKI Task Group 许多 成 员 组 织 的 参与 和 大 力 支 持 。 
它 定 义 了 一 组 分 层 的 安全 服务 和 应 用 程序 接口 ,为 Internet 的 数据 与 通信 安全 应 用 提供 
动态 的 ,集成 化 的 安全 服务 。CDSA 是 一 个 开放 的 、 可 扩展 的 体系 。 由 于 各 应 用 程序 可 自 
由 选择 动态 访问 该 体系 中 的 服务 ,CDSA 可 以 为 不 同 的 用 户 提供 多 平台 、 多 层次 .多 密级 
的 信息 安全 服务 。 

CDSA 有 三 个 基本 的 层次 : 系统 安全 服务 层 .通用 安全 服务 管理 器 (CSSM) 层 、 安 全 
模块 层 (密码 服务 .信任 策略 、 证 书库 .数据 存储 库 、 授 权 计 算 等 模块 )。 其 中 ,CSSM 是 
CDSA 的 核心 ,负责 对 各 种 安全 服务 进行 管理 ,管理 这 些 服务 的 实现 模块 。CSSM 定义 了 
访问 安全 服务 的 应 用 编程 接口 ,为 安全 服务 模块 规定 了 服务 提供 接口 (SPI) ,动态 地 为 应 
用 扩展 所 需 的 安全 服务 ,控制 着 可 信 计 算 机 的 核心 ,监视 着 动态 环境 的 完整 性 。 其 体系 结 
构 如 图 1-1-2 所 示 。 


系统 安全 服务 层 
CSSM 安全 API LEM-API) 
CSSM 层 
密码 服务 提 | | 信任 模块 | | 授权 计算 模 | | 证 书库 模块 | | 数据 存储 模 | | 扩展 模块 管 
供 者 管理 器 | | 管理 器 块 管理 器 管理 器 块 管理 器 | | 理 器 (EM) 
EMI 
其 他 广安 全 模块 导 
服务 


图 1-1-2 CDSA 的 体系 结构 
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本 书 对 于 信息 安全 体系 结构 的 定义 ,采用 了 美国 Greenwich Technology Partners 公 
司 信息 安全 小 组 的 实践 领导 人 Christopher M. King 在 其 与 他 人 合 著 的 (安全 体系 结构 的 
设计 部署 与 操作 ) 中 对 于 信息 安全 体系 结构 给 出 的 定义 , 即 : 信息 安全 体系 结构 是 由 安 
全 技术 及 其 配置 所 构成 的 安全 性 集中 解决 方案 。 

这 样 的 一 个 定义 表明 ,信息 安全 体系 结构 在 设计 实施、 应 用 的 过 程 中 ,需要 考虑 许多 
相关 的 问题 ,与 具体 应 用 需求 的 整个 生命 周期 有 关 。 例 如 ,必须 进行 需求 分 析 , 制 定 和 实 
施 相关 的 安全 策略 ;必须 仔细 考虑 如 何 合 理应 用 网 络 隔离 .平台 加 固 、VPN、IDS、PKI、 恶 
意 代 码 防范 等 众多 信息 安全 技术 与 相关 产品 ;必须 全 面 衡 量 解决 方案 的 具体 实施 过 程 所 
涉及 的 系统 操作 ,运行 与 管理 等 方面 的 有 关 问 题 。 


1.13 信息 安全 保障 


随 着 信息 安全 的 概念 由 早期 的 信息 保密 逐步 发 展 到 今天 的 信息 安全 保障 
(Information Assurance,IA) ,人们 对 于 信息 安全 保障 的 概念 需要 在 此 前 众说 纷 颖 的 基础 
上 加 以 统一 。 

在 国外 ,信息 安全 保障 "这 一 概念 最 早出 现在 1996 年 美国 国防 部 的 国防 部 令 
S-3600. 1 中 。 国 防 部 令 S-3600. 1 将 “信息 安全 保障 ”明确 定义 为 “保护 和 防御 信息 及 信 
息 系统 ,确保 其 可 用 性 、 完 整 性 ,机密 性 .可 认证 性 ,不 可 否认 性 等 特性 。 这 包括 在 信息 系 
统 中 融入 保护 检测、 响应 功能 ,并 提供 信息 系统 的 
恢复 功能 ,” 这 个 定义 明确 了 可 用 性 ,完整 性 、 可 认证 
性 ,机 密 性 和 不 可 否认 性 这 五 个 基本 的 信息 安全 属 
性 ,提出 了 保护 (Protect)、 检 测 (Detect)、 响 应 


(React) ,恢复 (Restore) 这 四 个 动态 的 信息 安全 环节 ee 
(如 图 ]-1-3 所 示 ) ,强调 了 信息 安全 保障 的 范畴 不 仅 恢复 响应 
仅 是 对 信息 的 保障 ,也 包括 对 信息 系统 的 保障 。 在 | (Restore) (Reacb) 
美国 ,这 个 “信息 安全 保障 ”定义 沿用 至 今 。 事 实 已 

经 表明 ,与 早期 信息 安全 的 概念 相 比 较 而 言 , 它 更 符 图 1-1-3 ”PDRR 模型 
合 现在 客观 的 信息 安全 需求 。 


在 我 国 ,从 有 关 专 家 学 者 开始 关注 美国 国家 安全 局 2001 年 发 布 的 (信息 安全 保障 技 
术 框 架 (2.0 版 )》(Information Assurance Technology Framework) 开 始 ,对 信息 安全 保障 
概念 已 经 经 历 了 多 年 的 探讨 。 直 到 今天 ,无 论 是 在 学 术 界 .管理 部 门 ,还 是 产业 界 ,对 这 个 
概念 的 理解 仍然 没有 统一 。 早 在 信息 安全 国家 重点 实验 室 的 专家 组 织 国 内 多 所 高 校 的 相 
关 专 业 的 教学 科研 人 员 翻 译 (信息 安全 保障 技术 框架 ) 时 ,就 不 断 地 有 地 方 和 军队 的 专家 
指出 ,他 们 对 “保障 ”一 词 的 翻译 有 不 同 的 见解 。 这 些 见解 主要 有 三 种 : 一 是 主张 改 用 “ 防 
8 


1.2 二 要 束 mm 


御 ” 或 者 “防范 ”, 以 便 强调 追求 信息 安全 的 自信 ;二 是 认为 “保障 ”的 说 法 容易 使 人 将 其 与 
军事 术语 “后 勤 保障 ” 相 联 系 ,并 在 此 基础 上 减弱 “信息 安全 保障 ”的 重要 性 ;三 是 指出 “ 信 
息 安全 保障 ”这 一 词语 的 出 现 ,容易 使 人 联系 到 情报 工作 中 的 情报 保障 概念 。 另 外 一 些 人 
则 喜欢 使 用 “信息 保障 ”这 一 概念 ,是 其 英文 的 直接 翻译 。 实 际 上 ,无 论 翻 译文 字 如 何 , 想 
表明 的 是 ,当前 信息 安全 的 内 涵 需 要 体现 未 雨 绸 缪 .积极 防御 的 思想 。 

目前 ,我 国 大 多 数 研究 人 员 还 比较 认可 下 述 关于 “信息 安全 保障 ”的 定义 : 信息 安全 
保障 是 对 信息 和 信息 系统 的 安全 属性 及 功能 ,效率 进行 保障 的 动态 行为 过 程 。 它 运用 源 
于 人 ,管理 ,技术 等 因素 所 形成 的 预警 能 力 、 保 护 能 力 、 检 测 能 力 、 响 应 能 力 、 恢 复 能 力 和 反 
击 能 力 ,在 信息 和 系统 生命 周期 全 过 程 的 各 个 状态 下 ,保证 信息 内 容 、 计 算 环境 、 边 界 与 连 
接 、 网 络 基础 设施 的 真实 性 、 可 用 性 、 完 整 性 ,机密 性 、 可 控 性 、 不 可 否认 性 等 安全 属性 ,从 
而 保障 应 用 服务 的 效率 和 效益 ,促进 信息 化 的 可 持续 健康 发 展 。 

这 个 定义 明确 了 两 个 工作 对 象 (信息 和 信息 系统 ) ,五 个 安全 属性 (可 用 性 、 完 整 性 、 可 
认证 性 ,机 密 性 和 不 可 否认 性 ) 、 四 个 工作 环节 (保护 ,检测 、 响 应、 恢复 )、 四 个 信息 保障 的 
对 象 (信息 内 容 , 计 算 环境 ,边界 与 连接 、 网 络 基础 设施 ), 以 及 信息 保障 的 核心 (应 用 服 
务 )。 但 是 没有 涉及 信息 和 信息 系统 的 状态 和 信息 保障 能 力 的 来 源 问 题 。 

如 果 抛 开 上 述 过 多 的 术语 来 解释 什么 是 信息 安全 保障 ,有 一 个 非常 容易 理解 的 说 法 ， 
那 就 是 : 所 谓 信息 安全 保障 ,就 是 人 利用 技术 和 管理 来 实现 信息 安全 的 这 样 一 个 过 程 。 
这 里 ,可 以 看 到 ,信息 安全 保障 具有 三 个 要 素 : 人 、 技 术 和 管理 。 


123 ”三 要 素 


121 - 状 


时 至 今日 , 随 着 人 们 对 信息 安全 重视 程度 的 提高 ,“ 人 是 第 一 位 的 ”已 经 成 为 一 个 逐渐 

被 接受 的 观点 。 前 面 我 们 提 到 了 信息 安全 保障 。 人 是 信息 安全 保障 关注 的 三 要 素 之 一 。 

这 里 所 说 的 人 ,包括 信息 安全 保障 目标 的 实现 过 程 中 所 有 的 相关 人 员 , 例 如 ,机 构 信息 安 

全 保障 目标 的 制定 与 实施 人 员 ,业务 系统 的 设计 、 开 发 维护 与 管理 人 员 , 这 些 系统 (或 产 

品 ) 的 用 户 , 可 能 存在 的 网 络 入侵 人 员 ,信息 安全 事件 报告 分析、 处 理 人 员 ,信息 安全 法 律 
顾问 等 。 

在 信息 安全 发 展 的 早期 阶段 ,我 们 关注 的 重点 是 技术 和 产品 ,对 于 新 技术 、 新 产品 的 

出 现 和 他 们 所 能 发 挥 的 作用 给 予 了 过 高 的 期 望 。 结 果 是 ,技术 的 种 类 与 名 目 越 来 越 多 , 产 

品 的 功能 和 形式 也 五 花 八 门 , 各 种 各 样 的 信息 安全 事件 或 事故 却 也 与 日 俱 增 。 静 下 心 来 
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仔细 想 想 ,如 果 没 有 某 些 人 (例如 ,粗心 的 用 户 , 有 意 或 无 意 造成 破坏 的 设计 者 ,安全 意识 
淡漠 的 管理 人 员 等 ) 的 介入 ,或 许 这 些 技术 和 产品 的 实际 功用 真 的 会 更 大 ,更 让 我 们 有 乐 
观 的 理由 。 但 是 ,这 可 能 吗 ? 这 些 人 的 影响 无 处 不 在 。 可 我 们 对 于 这 种 影响 司空 见 惯 了 ， 
没有 注意 到 , 正 是 这 样 一 些 形形色色 的 ,水 平 参差 不 齐 的 人 的 介入 ,使 得 原本 可 以 更 加 有 
用 的 技术 和 产品 在 实际 的 效用 上 大 打折 扣 。 当 然 , 也 因为 设计 与 开发 人 员 的 水 平 有 限 , 某 
些 技 术 和 产品 面世 的 同时 就 在 技术 或 功能 方面 具备 了 某 些 局 限 性 。 

在 IATF 提出 的 “纵深 防御 战略 "中 ,与 "人 ”相关 的 需要 考虑 的 因素 有 : 策略 和 流程 、 
培训 和 意识 培养 .系统 安全 管理 ,物理 安全 、 人 员 安 全 和 设施 对 策 等 ,如 图 1-2-1 所 示 。 在 
这 六 个 因素 的 基础 上 ,争取 实现 的 目标 是 雇用 优秀 的 人 员 ,给 予 其 良好 的 培训 和 报酬 , 同 
时 也 惩罚 非 授权 的 行为 。 


使 命 的 成 功 执行 > 


信息 安全 保障 
纵深 防御 战略 

页 技术 | 操作 
.策略 和 流程 。”“ 物理 安全 
. 培训 和 意识 培养 ， 人 员 安全 
. 系统 安全 管理 。 “设施 对 策 


图 1-2-1 纵深 防御 战略 的 要 素 之 一 : 人 


现实 的 情况 是 ,对 于 任何 一 个 企业 或 者 机 构 而 言 , 在 人 这 个 环节 ,除了 可 以 预见 的 不 
合格 内 部 员工 、 恶 意 的 竞争 者 ,不 合格 的 合作 方 ,以 及 对 信息 安全 缺少 足够 重视 的 管理 者 ， 
可 能 对 该 企业 (机 构 ) 造 成 信息 安全 的 危害 之 外 ,一 个 主要 的 威胁 就 来 自 不 可 预见 的 网 络 
世界 。 这 里 ,有 太 多 的 好 奇 者 、 好 事 者 ,以 各 种 各 样 的 方式 ,在 尝试 进入 别人 的 系统 ,有 的 仅 
仅 是 好 奇 或 者 逮 能 地 看 一 看 ,有 的 则 是 有 意图 获得 对 自己 有 用 的 数据 或 者 进行 纯粹 的 破坏 。 

那么 ,怎样 才能 如 愿 以 偿 , 获 得 具备 应 有 素质 的 人 呢 ? 

NIST 在 1998 年 4 月 颁布 了 特别 出 版 物 SP 800-16《 信 息 技术 安全 培训 要 求 ; 任务 和 实 
现 的 基本 模型 )》。 这 个 出 版 物 对 意识 .培训 ,教育 的 一 些 特点 进行 了 比较 ( 见 表 1-2-1) 。 


表 1-2-1 对 意识 培训、 教育 这 三 者 的 比较 


比较 项 目 意 识 培 训 教 育 
特征 什么 (What) 怎么 (How) 为 什么 (Why) 
程度 信息 知识 洞察 力 


IE 1].2 三 妥 未 mm 


续 表 
比较 项 目 意 识 培 训 教 育 
学 习 的 目标 认识 和 记忆 技能 理解 
教学 方法 举例 媒体 : 视频 时事 新 闻 、| 实践 指导 : 演讲 和 演示 ,个 | 理论 指导 : 研讨 会 和 讨 
张贴 宣传 品 案 研 究 ,传授 实践 论 .阅读 和 学 习 、 研 究 
测试 措施 对 / 铺 判 晰 : 才 光 ( 识 列 基 决 问题, 训 弃 和解 芝 4 旋 尝试 (理解 学 习 ) 
学 习 ) 用 学 习 ) 
影响 的 时 间 短期 中 期 长 期 


早 在 1991 年 ,美国 计算 机 道德 规范 学 会 就 在 华盛顿 召开 了 第 一 次 美国 国家 计算 机 道 
德 规范 会 议 。 当 时 ,这 个 学 会 的 主席 和 奠基 人 Ramon C. Barquin 提出 了 《计算 机 道德 规 
范 的 十 条 戒律 ) 草 案 , 内 容 是 : 

(1) 不 要 使 用 计算 机 去 做 伤害 他 人 的 事 。 

(2) 不 要 干扰 其 他 人 用 计算 机 进行 的 工作 。 

(3) 不 要 窥视 他 人 的 计算 机 文件 。 

(4) 不 要 使 用 计算 机 进行 偷 穷 。 

(5) 不 要 使 用 计算 机 来 承担 伪证 。 

(6) 不 要 复制 或 使 用 你 没有 付款 的 专 有 软件 。 

(7) 不 要 使 用 没有 授权 的 计算 机 资源 。 

(8) 不 要 充当 他 人 的 枪手 。 

(9) 要 考虑 你 正在 写 的 程序 或 你 正在 设计 的 系统 的 社会 后 果 。 

(10) 要 永远 考虑 采用 一 种 能 够 获得 你 的 同伴 尊敬 的 方法 使 用 计算 机 。 

从 那 之 后 ,这 十 条 戒律 就 成 为 计算 机 道德 规范 的 指南 性 文件 。 

即使 那些 在 网 上 四 处 张望 .热心 于 迎接 技术 挑战 和 解决 技术 问题 的 黑客 中 ,也 有 一 些 
在 其 内 部 得 以 公认 的 行为 守则 。 违 背 了 这 些 守 则 内 容 的 黑客 ,会 遭 到 同伴 的 冷眼 。 例 如 ， 
一 个 比较 流行 的 黑客 行为 守则 的 内 容 大 致 如 下 : 

。 不 恶意 破坏 任何 系统 ,否则 只 会 给 你 带 来 麻烦 。 恶 意 破坏 他 人 的 软件 将 遭受 法 律 

惩罚 。 如 果 你 只 是 使 用 对 方 的 计算 机 , 那 就 仅仅 是 非法 使 用 。 注 意 , 千 万 不 要 破 
坏 别 人 的 软件 或 资料 。 

。 不 修改 任何 系统 文档 ,如 果 为 了 进入 系统 而 必须 修改 它 , 请 将 它 改 回 原状 。 

。 不 要 轻易 将 你 要 黑 掉 的 网 站 告诉 你 不 信任 的 朋友 。 

。 不 要 在 BBS 上 谈论 你 的 这 些 。 

。 在 发 表 文 章 时 不 要 使 用 自己 的 真名 。 
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不 要 在 电话 中 谈论 这 些 事情 。 
把 笔记 放 在 安全 的 地 方 。 


122 技术 


在 传统 的 观念 中 ,技术 始终 是 信息 安全 中 最 重要 的 话题 。 早 期 ,在 信息 化 普及 程度 不 
高 的 背景 下 ,采用 了 先进 的 信息 安全 技术 的 信息 系统 ,面临 的 风险 确实 要 小 一 些 。 但 是 ， 


这 些 年 情况 已 经 发 生 了 变化 。 


原因 很 简单 , 那 就 是 任何 一 个 新 技术 的 引进 ,任何 一 个 新 产品 的 加 入 ,如 果 有 对 其 精 


正在 实施 入 侵 行为 时 不 要 随意 离开 自己 的 计算 机 。 
不 要 侵入 或 破坏 政府 机 关 的 主机 。 


通 的 人 故意 作对 ,或 者 无 意 而 为 ,都 会 带 来 新 的 隐患 。 


追求 技术 的 发 展 和 产品 的 更 新 无 可 厚 非 。 但 如 果 要 更 安全 ,就 要 对 这 些 技 术 和 产品 
具有 相当 的 了 解 和 控制 权 , 使 它们 能 够 为 自己 服务 ,而 不 是 被 他 人 利用 。 
纵深 防御 战略 对 技术 的 相关 元 素 进行 了 描述 ,如 图 1-2-2 所 示 , 其 核心 是 采用 经 过 评 


估 的 产品 和 解决 方案 ,支持 分 层 的 防御 战略 。 


使 命 的 成 功 执行 


信息 安全 保障 


纵深 防御 战略 


想 要 成 为 黑客 就 要 真正 实践 , 读 遍 所 有 有 关系 统 安全 或 系统 漏洞 的 文件 。 
不 要 清除 或 修改 已 被 侵入 的 计算 机 中 的 账号 。 
不 要 修改 系统 档案 (为 了 隐藏 自己 的 侵入 而 进行 的 修改 例外 ) ,但 仍 需 保证 系统 原 
有 的 安全 性 ,不 要 在 得 到 系统 的 控制 权 之 后 将 其 门户 大 开 。 

不 要 和 朋友 分 享 你 已 经 破解 的 账号 。 
第 7 章 将 介绍 有 助 于 企业 和 机 构 衡量 和 提升 人 员 水 平 的 人 员 能 力 成 熟 度 模型 。 


人 


技术 


操作 


“IA 体系 结构 
* IA 准 则 (安全 
作 性 、PKI 等 ) 


* 对 通过 评估 的 产品 的 


、 互 操 


采 办 /集成 


“ 系统 风险 评估 


图 1-2-2 纵深 防御 战略 的 要 素 之 一 : 技术 


IATF 中 认为 , 现 阶 段 ,已 经 有 很 多 可 以 用 于 提供 信息 安全 服务 和 实现 信息 安全 保障 
目标 的 技术 。 为 了 能 够 正确 运用 这 些 技术 和 合理 部 署 相关 的 产品 ,一 个 企业 或 者 机 构 就 
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必须 建立 一 整套 行 之 有 效 的 技术 与 产品 采购 策略 和 过 程 ,具体 包括 安全 策略 \ 信 息 保障 原 
则 、 系 统 级 信息 保障 体系 结构 及 其 标准 、 信 息 保障 产品 选用 准则 、 经 可 信 第 三 方 认证 的 产 
品 采购 原则 ,产品 配置 指南 ,以 及 系统 风险 评估 过 程 。 

本 书 的 第 3 章 将 对 目前 主要 的 信息 安全 技术 进行 介绍 ,第 4 章 将 对 目前 主要 的 信息 
安全 产品 进行 介绍 。 


123 管理 


俗话 说 ,“ 三 分 技术 ,七 分 管理 ”。 可 见 管理 在 信息 安全 保障 中 的 重要 性 。“ 管 理 ” 通 常 
指 的 是 对 实现 信息 安全 保障 目标 负 有 责任 的 有 关 人 员 具 有 的 管理 职能 ,如 图 1-2-3 所 示 。 
如 果 从 系统 运行 与 维护 的 角度 来 看 ,也 可 以 称 之 为 操作 ”或 者 “运行 ”。 


使 命 的 成 功 执行 》 


信息 安全 保障 
纵深 防御 战略 
人 技术 运行 
， 安 全 策略 ' 安全 管理 ,ASW &R 
， 认 证 和 认可 ' 密 钥 管理 ' 恢复 和 重建 
. 就 绪 评估 


图 1-2-3 纵深 防御 战略 的 要 素 之 一 : 管理 


在 管理 环节 中 ,最 重要 的 是 制定 和 实施 符合 实际 需求 的 安全 策略 , 即 实施 安全 策略 ， 
迅速 实施 入 侵 响应 ,恢复 关键 服务 。2. 4 节 将 介绍 有 关 安 全 策略 的 内 容 。 
第 5 章 和 第 6 章 将 分 别 介绍 信息 安全 标准 和 信息 安全 管理 的 相关 内 容 。 


124 三 者 的 相互 关系 


事实 上 ,上 述 纵深 防 御 战 略 已 经 从 一 个 角度 描述 了 人 、 技 术 和 管理 这 三 要 素 之 间 的 关 
系 , 那 就 是 : 在 实现 信息 安全 保障 目标 的 过 程 中 ,三 个 要 素 相 辅 相 成 , 缺 一 不 可 。 

例如 ,在 一 家 客户 众多 的 商业 银行 中 ,为 了 保证 其 信息 安全 状况 能 够 符合 业务 发 展 的 
需要 ,必须 配备 相应 的 专业 人 员 ,引进 成 本 恰当 、 科 学 合理 的 新 技术 和 采购 功能 与 性 能 符 
合 需 要 的 新 产品 ,同时 也 要 制定 和 实施 有 效 地 管理 方法 与 监督 流程 。 人 ,技术 和 管理 , 任 
何 一 个 环节 出 了 问题 ,都 会 给 银行 带 来 损失 。 在 人 这 个 环节 ,可 能 会 存在 恶意 的 内 部 人 员 
非法 侵入 未 授权 的 系统 , 盗 取 客户 资料 ,或 者 有 这 么 一 个 不 太 负 责任 的 系统 操作 人 员 , 没 
有 对 业务 系统 的 数据 进行 有 效 备份 ;在 技术 这 个 环节 ,可 能 有 那么 一 台 防 火 墙 没有 配置 得 
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当 , 总 是 拒绝 来 自 远程 用 户 的 合理 请 求 , 也 可 能 存在 若干 台 系统 主机 ,存在 可 能 被 黑客 利 
用 的 操作 系统 漏洞 ;在 管理 这 个 环节 ,可 能 没有 对 所 有 必须 接受 信息 安全 培训 的 人 进行 有 
效 地 培训 和 考核 ,也 可 能 缺少 对 于 安全 策略 的 仔细 研究 和 实际 演练 。 总 之 ,似乎 只 要 稍 不 
留神 , 某 个 环节 就 会 出 问题 。 事 实 也 的 确 如 此 。 

那么 ,怎么 样 才能 确保 这 三 要 素 彼此 配合 .共同 实现 信息 安全 保障 呢 ? 不 同 现实 情况 
的 企业 或 组 织 会 有 不 同 的 做 法 。 但 一 个 显而易见 的 共同 点 是 : 绝对 不 能 存 有 侥幸 的 心 
理 ,或 者 出 于 某 种 浅显 的 理由 ,顾此失彼 。 


前 小结 


本 章 重点 介绍 了 两 个 内 容 : 一 个 是 信息 安全 体系 结构 的 基本 含义 , 另 一 个 是 信息 安 
全 保障 中 涉及 的 人 技术 和 管理 这 三 个 要 素 的 基本 含义 及 其 相互 关系 。 为 了 让 读者 理解 
信息 安全 体系 结构 的 基本 含义 ,本 章 一 方面 介绍 了 体系 结构 的 各 种 定义 和 六 种 基本 模式 ， 
另 一 方面 介绍 了 各 个 组 织 对 信息 安全 体系 结构 的 定义 ,明确 了 本 书 所 采用 的 信息 安全 体 
系 结构 的 定义 , 即 信息 安全 体系 结构 是 由 安全 技术 及 其 配置 所 构成 的 安全 性 集中 解决 方 
案 。 为 了 让 读者 理解 人 、 技 术 和 管理 三 个 要 素 的 基本 含义 及 其 相互 关系 ,本 章 首先 介绍 了 
人 们 对 信息 安全 保障 的 各 种 理解 ,其 次 介绍 了 美国 国家 安全 局 发 布 的 (信息 安全 保障 技术 
框架 (3.0 版 )》 中 关于 纵深 防御 战略 的 三 个 主要 层面 : 人 技术 和 操作 。 


习题 


.比较 体系 结构 的 各 种 定义 ,并 说 明 这 些 定义 之 间 的 异同 点 ,指出 其 共性 要 素 。 
. 分 析 体 系 结构 的 六 种 基本 模式 各 自 的 优 缺点 ,描述 最 常用 的 四 种 结构 的 特点 。 
.比较 信息 安全 体系 结构 的 各 种 定义 ,并 说 明 这 些 定义 之 间 的 异同 点 。 

. 叙述 PDRR 模型 。 

. 叙述 信息 安全 保障 的 基本 含义 , 曾 述 信息 安全 保障 的 基本 要 素 。 

. 叙述 人 、 技 术 和 管理 三 个 要 素 的 基本 含义 及 其 相互 关系 。 

. 作为 一 个 信息 安全 工作 者 ,应 该 遵循 哪些 道德 规范 ? 


Do 


2 到 
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设计 


2 网 络 与 信息 系统 总 体 结构 初步 分 析 


网 络 与 信息 系统 的 总 体 情况 在 不 同 的 行业 有 不 同 的 特点 。 例 如 ,在 医疗 行业 (主要 是 
医院 ) 的 信息 化 建设 中 ,其 局 域 网 大 多 是 一 个 信息 点 较为 密集 的 吉 比 特 局 域 网 络 系 统 ,所 
连接 的 现 有 数 百 个 信息 点 为 在 整个 医院 内 医疗 和 办 公 的 各 部 门 提供 一 个 快速 方便 的 信 
息 交 流 平台 ,各 个 部 门 可 以 通过 这 个 平台 进行 交流 、 查 询 资料 等 。 就 网 络 的 整体 建设 情况 
而 言 ,这样 一 个 局 域 网 的 物理 跨度 通常 不 大 ,通过 吉 比 特 交换 机 在 主干 网 络 上 提供 吉 比 特 
的 独 享 带宽 ,通过 下 级 交换 机 与 各 部 门 的 工作 站 和 服务 器 连接 ,并 为 之 提供 100Mbys 的 
独 享 带宽 ,所 有 楼 层级 交换 机 均 与 中 心 交 换 机 相连 , 即 可 提供 上 述 的 应 用 服务 。 就 网 络 的 
区 域 划分 而 言 , 这 样 一 个 局 域 网 通常 会 划分 出 两 个 主要 区 域 : 医疗 网 络 和 办 公 网 络 。 其 
中 ,医疗 网 络 又 可 以 按照 所 属 的 部 门 、 职 能 、 安 全 重要 程度 等 分 为 许多 子 网 ,包括 药品 子 
网 .门诊 子 网 .病房 子 网 ,中心 服务 器 子 网 等 。 
医疗 网 络 为 用 户 提供 的 应 用 主要 是 ， 

@ 内 部 办 公 网 ， 

@ 文件 数据 的 统一 存储 ; 

@ 针对 特定 的 应 用 在 数据 库 服务 器 上 进行 开发 ; 

@ C/S 结构 的 Oracle 数据 库 服 务 。 

办 公 网 络 为 用 户 提供 的 应 用 主要 是 : 

@ 内 部 办 公 网 ; 

@ 文件 数据 的 统一 存储 。 

在 教育 行业 , 随 着 现代 化 教学 活动 的 开展 和 教学 机 构 相 互 交 流 的 增多 ,教育 机 构 对 通 
过 Internet/Intranet 网 络 进 行 信息 交流 的 需求 越 来 越 迫 切 。 为 促进 教学 ,方便 管理 和 进 
一 步 发 挥 学 生 的 创造 力 ,校园 网 络 建设 已 经 成 为 现代 教育 机 构 的 必然 选择 。 在 我 国 ,目前 
基本 上 所 有 的 大 学 都 建 有 自己 的 校园 网 络 ,部 分 规模 大 、 条 件 好 的 中 学 也 建 有 自己 的 校园 
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网 。 由 于 用 户 规模 的 限制 ,这 些 网 络 大 部 分 属于 中 小 型 系统 ,以 园区 局 域 网 为 主 , 在 网 络 
结构 和 性 能 要 求 方面 具有 自己 的 行业 特色 。 

以 某 中 学 的 校园 网 络 为 例 , 承 接 此 项 工程 的 某 高 级 认证 代理 商 将 该 校园 网 分 为 三 级 
结构 : 以 位 于 图 书馆 楼 内 的 校园 网 控制 中 心 为 核心 ;与 校园 内 各 建筑 (校园 内 需要 联网 的 
建筑 物 共 10 座 ,3 座 教学 楼 、2 座 办 公 楼 、1 座 综 合 楼 、1 座 游泳 馆 、1 座 图 书馆 楼 和 2 座 宿 
会 楼 ) 互 连 形成 园区 主干 ;各 建筑 物 内 再 扩展 面向 用 户 的 局 域 网 。 园区 主干 连接 为 
100Mb/s 或 1000Mb/s, 建 筑 物 内 部 的 用 户 局 域 网 提供 到 桌面 的 10Mb/s 或 100Mb/s 网 
络 带宽 。 该 校园 网 的 整体 拓扑 结构 如 图 2-1-1 所 示 。 


主 服务 器 
(Web/Mail/DNS/OA 数据 库 等 ) 


拨号 赂 /查阅 资料 /备课 /视频 点 播 | 
pd 
和 


| 公共 电话 网 


IP/TV | 


-| 


电教 馆 


图 2-1-1 某 中 学 校园 网 拓扑 结构 图 


由 两 个 吉 比 特级 的 交换 机 通过 GigaStack 千 兆 堆 秋 ,构成 校园 中 心 交换 机 和 中 心 局 
域 网 ;各 建筑 物 主 交换 机 也 选择 了 千 兆 级 的 交换 机 ,控制 中 心 空余 的 8 个 吉 比 特 端 口 与 8 
栋 建 筑 楼 的 交换 机 作 千 兆 光 纤 连 接 ,剩余 的 一 栋 办 公 楼 采用 了 一 条 百 兆 线路 与 中 心 连接 ， 
至 此 除 网 控 中 心 所 在 的 图 书馆 楼 外 ,其 他 九 栋 建 筑 都 与 中 心 连接 ,形成 网 络 主干 ;此 外 ,中 
心 3548 交换 机 和 各 楼 3524 交换 机 的 10Mb/s 或 100Mb/s 局 域 网 端口 可 以 为 多 台 应 用 
服务 器 提供 高 速 网 络 连接 。 这 样 一 种 按 需 求 设 计 带 宽 和 架构 的 方式 , 既 节省 经 费 , 又 能 充 
分 发 挥 已 购 设备 的 优势 ,获得 最 优 的 整体 性 价 比 。 建 筑 物 内 各 楼 层 采用 百 兆 交换 机 与 本 
楼 主 交换 机 连接 ,再 以 10Mb/s 或 100Mbys 带宽 连接 到 用 户 桌 面 ,必要 时 还 可 再 下 联 低 
端 交换 机 扩展 用 户 数 。 考 虑 到 各 交换 机 都 有 多 个 100Mb/s 端口 ,级 联 时 可 采用 Fast 
Ether Channel( 快 速 以 太 网 通道 ) 技 术 , 将 两 交换 机 的 2~4 对 100Mby/s 或 10/100Mbys 
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端口 并 行 连接 起 来 ,使 级 联 带 宽 成 倍增 加 ,同时 提供 线路 元 余 , 其 中 任 一 条 链 路 的 断 线 不 
会 妨碍 其 他 链 路 继续 传输 数据 ,从 而 保障 运行 的 可 靠 性 。 此 外 ,为 实现 Internet 接 入 和 为 
在 家 办 公 .学习 的 远程 用 户 提供 拨号 上 网 服务 ,校园 网 中 还 在 网 控 中 心 内 设立 了 Internet 
服务 中 心 ,采用 路 由 器 (具有 1 个 10Mb/s 以 太 网 接口 ,2 个 WAN 接口 卡 和 1 个 支持 多 种 
模块 的 网 络 插 槽 ) 作 远程 连接 ,其 10Mb/s 以 太 网 端口 与 网 控 中 心 的 局 域 网 相连 , 另 可 选 
配 一 块 具备 1 个 2Mb/s 广域网 串口 的 接口 卡通 过 DDN 专线 连接 到 Internet; 再 选 配 一 
块 NM-16AM 网 络 模块 ,为 远程 用 户 提供 16 口 拨号 连接 。 

上 述 两 类 局 域 网 都 属于 中 小 型 网 络 , 用 户 规模 在 数 千 人 左右 ,网 络 建设 成 本 也 较 高 。 
实际 上 ,在 更 为 简单 一 些 的 应 用 中 ,网 络 的 建设 可 以 非常 简单 ,例如 , 某 中 小 型 企业 的 网 络 
拓扑 如 图 2-1-2 所 示 。 该 企业 员工 数 30 人 左右 ,所 建 局 域 网 主要 是 为 了 方便 企业 业务 的 展 
开 和 节约 成 本 。 企 业 各 部 门 的 计算 机 通过 各 自 部 门 的 一 个 集线器 接 人 交换 机 ,负责 网 络 管 
理 的 计算 机 则 直接 连 在 交换 机 上 。 交 换 机 对 外 Internet 的 连接 上 配 有 防火 墙 。 由 于 企业 内 
部 没有 提供 对 外 的 公共 服务 (如 电子 邮件 服务 FTP 服务 等 ) ,防火 墙 也 没有 设置 DMZ 区 。 


. 


工程 部 经 营 发 展 部 
图 2-1-2 某 公司 局 域 网 拓扑 图 


对 于 网 络 与 信息 系统 的 总 体 情况 而 言 ,用 户 规模 、 业 务 量 大 小 ,以 及 建设 的 成 本 预算 
情况 ,共同 决定 了 网 络 建设 的 规模 和 建设 与 开发 成 本 。 
一 般 地 , 越 是 大 型 的 网 络 , 其 结构 越 为 复杂 ,涉及 的 人 、 技 术 、 管 理 因素 越 多 ,可 能 存在 
的 隐患 也 就 越 多 。 为 了 确保 这 些 网 络 的 安全 ,首先 就 要 结合 网 络 使 用 方 的 需求 和 网 络 建 
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设 者 的 能 力 , 从 设计 之 初 开始 准确 地 判断 其 信息 安全 需求 ,并 在 设计 实施 、 应 用 和 维护 的 
全 过 程 中 ,结合 有 效 地 安全 策略 及 其 实施 方法 ,合理 部 署 必要 的 信息 安全 产品 ,将 可 能 存 
在 的 风险 控制 在 可 以 接受 的 范围 之 内 。 

这 里 值得 一 提 的 是 ,将 网 络 安全 纳入 到 信息 安全 之 中 ,也 是 学 术 界 和 产业 界 的 基本 共 
识 。 这 样 ,自然 而 然 地 也 就 将 网 络 系统 纳入 到 信息 系统 之 中 。 信 息 系统 有 其 自身 的 含义 。 
一 般 地 ,信息 系统 是 由 计算 机 及 其 相关 的 和 配套 的 设备 .设施 ( 含 网 络 ) 构 成 的 ,按照 一 定 
的 应 用 目标 和 规则 对 信息 进行 采集 、 加 工 、 存 储 、 传 输 、 检 索 等 处 理 的 人 机 系统 ,也 称 计 算 
机 信息 系统 。 


2.2 信息 安全 需求 分 析 


信息 安全 需求 分 析 贯 穿 在 信息 安全 体系 结构 设计 与 实施 的 整个 过 程 中 ,而 设计 开始 
之 前 的 需求 分 析 尤 其 重要 。 需 求 分 析 涉 及 物理 安全 、 系 统 安全 、 网 络 安全 数据 安全 、 应 用 
安全 与 安全 管理 等 多 个 层面 , 既 与 安全 策略 的 制定 和 安全 等 级 的 确定 有 关 , 又 与 信息 安全 
技术 和 产品 的 特点 有 关 。 


221 物理 安全 


物理 安全 主要 从 外 界 环境 .基础 设施 ,运行 硬件 .介质 等 方面 为 信息 系统 安全 运行 提 
供 基 本 的 底层 支撑 和 保障 。 实 现 物 理 安全 的 主要 目的 是 保障 存放 计算 机 与 网 络 设备 的 机 
房 、 信 息 系统 设备 和 数据 存储 介质 等 免 受 物理 环境 .自然 灾害 以 及 人 为 操作 失误 和 恶意 操 
作 等 各 种 威胁 所 产生 的 攻击 。 物 理 安全 是 整个 信息 系统 安全 的 基础 。 

物理 安全 需求 主要 包括 ; 

(1) 物理 位 置 的 选择 ,需要 充分 考虑 周边 的 整体 环境 以 及 所 选择 的 物理 位 置 是否 能 
够 为 信息 系统 的 运行 提供 物理 上 的 基本 保障 。 

(2) 物理 访问 控制 ,需要 对 内 部 授权 人 员 和 临时 外 部 人 员 进 出 系统 物理 环境 进行 
控制 。 

(3) 防盗 窃 和 防 破坏 ,需要 考虑 机 房 内 部 的 设备 .介质 和 通信 线 缆 等 的 安全 性 ,如 设 
立 防 资 报警 ,监控 报警 等 装置 。 

(4) 防 雷电 ,需要 考虑 防止 雷电 对 电流 、 设 备 等 造成 的 不 利 影响 。 

(5) 防火 ,需要 考虑 防止 火灾 发 生 以 及 火灾 发 生 后 能 够 及 时 灭火 的 措施 。 

(6) 防 静 电 , 需 要 考虑 防止 静电 的 措施 ,以 避免 产生 静电 及 其 对 设备 和 人 员 等 造成 的 
伤害 ,以 及 如 何 减 少 这 种 伤害 。 
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(7) 温度 与 湿度 控制 ,需要 考虑 保障 各 种 设备 正常 运行 的 温度 和 湿度 范围 。 
(8) 电力 供应 ,需要 考虑 防止 电源 出 现 故障 .电力 波动 范围 过 大 的 措施 。 
(9) 电磁 防护 ,需要 考虑 防止 电磁 辐射 可 能 造成 的 信息 被 窃取 或 泄露 的 措施 。 


222 系统 安全 


系统 安全 又 称 主机 系统 安全 ,主要 提供 安全 的 操作 系统 和 安全 的 数据 库 管 理 系统 ,以 
实现 操作 系统 和 数据 库 管理 系统 的 安全 运行 ,包括 服务 器 、 终 端 / 工 作 站 等 在 内 的 计算 机 
设备 在 操作 系统 及 数据 库 系统 层面 的 安全 。 系 统 安 全 是 保障 信息 系统 安全 的 中 坚 力量 。 
系统 安全 应 从 身份 鉴别 .安全 标记 、 访 问 控制 .可 信 路 径 、 安 全 审计 、 剩 余 信息 保护 .人 侵 防 
范 、 恶 意 代码 防范 和 资源 控制 等 方面 考虑 其 安全 性 需求 。 下 面 将 在 此 基础 上 从 以 下 六 个 
角度 介绍 系统 安全 的 安全 需求 。 


1. 操 作 系 统 、 数 据 库 系统 、 服 务 器 安全 需求 

操作 系统 数据库 系统 和 服务 器 的 安全 需求 与 应 用 层 安全 密切 相关 ,这 表现 在 两 个 方 
面 。 一 方面 ,目前 广泛 使 用 的 这 些 系统 普遍 缺少 足够 的 可 信任 性 ,或 者 仅 提 供 很 有 限 的 信 
任 或 安全 机 制 ,难以 提供 应 用 层 所 需 的 足够 的 安全 机 制 。 另 一 方面 ,由 于 这 些 系 统 通常 是 
以 软件 处 理 的 方式 对 网 络 端 口 做 出 响应 ,而 软件 处 理 又 往往 在 应 用 层 安 全 机 制 的 控制 能 
力 之 外 ,这 些 系 统 更 容易 遭受 网 络 攻击 。 

不 同安 全 级 别 的 操作 系统 、 数 据 库 系 统 、. 服 务 器 具有 不 同 的 安全 需求 。 一 般 地 ,设计 
安全 需求 的 应 用 系统 采用 的 至 少 是 符合 GB 17859 中 的 第 二 级 (系统 审计 保护 级 ) 或 第 三 
级 (安全 标记 保护 级 ) 安 全 需求 的 操作 系统 数据库 系统 和 服务 器 。 这 些 安全 需求 都 是 通 
过 描述 该 级 别 系 统 的 可 信 计 算 机 的 安全 要 求 体 现 出 来 的 。 

1) GB 17859 中 的 第 二 级 : 系统 审计 保护 级 

系统 审计 保护 级 的 安全 需求 主要 包括 : 

(1) 访问 控制 。 主 要 保证 对 系统 (操作 系统 数据库 系统 、 服 务 器 ) 资 源 进行 受 控 合 法 
的 使 用 。 这 一 级 采用 自主 访问 控制 , 即 由 可 信 计 算 机 定义 和 控制 系统 中 命名 用 户 对 命名 
客体 的 访问 。 自 主 访问 控制 机 制 根据 用 户 指定 方式 或 默认 方式 ,阻止 非 授 权 用 户 访问 客 
体 。 访问 控制 的 粒度 是 单个 用 户 。 实 施 机 制 ( 例 如 访问 控制 表 ) 允 许 命名 用 户 以 用 户 或 用 
户 组 的 身份 规定 并 控制 客体 的 共享 ,阻止 非 授权 用 户 读 取 敏感 信息 ,控制 访问 权限 扩散 ， 
没有 存 取 权 的 用 户 只 被 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 

(2) 身份 鉴别 。 主 要 对 系统 中 的 每 个 用 户 或 与 之 相连 的 服务 器 或 终端 设备 进行 有 效 
地 标识 和 上 鉴别。 可 信 计 算 机 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,并 使 用 保护 机 制 
(例如 口令 ) 来 鉴别 用 户 的 身份 ;再 有 就 是 要 阻止 非 授 权 用 户 访问 用 户 身份 鉴别 数据 ;还 有 
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就 是 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 。 

(3) 客体 重用 。 在 可 信 计 算 机 的 空闲 存储 客体 空间 中 ,对 客体 初始 指定 、 分 配 或 再 分 
配 一 个 主体 之 前 ,撤销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 
的 访问 权时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

(4) 安全 审计 。 主 要 对 主机 进行 安全 审计 ,以 保持 对 操作 系统 、 数 据 库 系统 、 服 务 器 
的 运行 情况 以 及 系统 用 户 行为 的 跟踪 ,以便 事后 追踪 分 析 ,可 信 计 算 机 能 创建 和 维护 受 保 
护 客 体 的 访问 审计 跟踪 记录 ,并 能 阻止 非 授权 的 用 户 对 它 访问 或 破坏 。 审 计 对 象 包括 的 
事件 有 : 使 用 身份 鉴别 机 制 ,将 客体 引入 用 户 地 址 空间 (例如 打开 文件 .程序 初始 化 ) , 删 
除 客体 ,由 操作 员 系统 管理 员 或 (和 ) 系 统 安全 管理 员 实 施 的 动作 以 及 其 他 与 系统 安全 有 
关 的 事件 。 对 这 些 事件 的 具体 审计 内 容 包括 : 事件 的 日 期 和 时 间 用户、 事件 类 型 .事件 
是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 记录 包含 请 求 的 来 源 ( 例 如 终端 标识 符 ); 对 于 客体 引 
入 用户 地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 包含 客体 名 。 对 不 能 由 计算 机 信息 系 
统 可 信 计 算 机 独立 分 辩 的 审计 事件 ,审计 机 制 提供 审计 记录 接口 ,可 由 授权 主体 调用 。 这 
些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 机 独立 分 辨 的 审计 记录 。 

(5) 数据 完整 性 。 可 信 计 算 机 通过 自主 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破坏 敏 
感 信息 。 

2) GB 17859 中 的 第 三 级 : 安全 标记 保护 级 

安全 标记 保护 级 的 安全 需求 主要 包括 : 

(1) 访问 控制 。 在 系统 审计 保护 级 自主 访问 控制 的 基础 上 实施 强制 访问 控制 , 即 由 
可 信 计 算 机 对 所 有 主体 及 其 所 控制 的 客体 (例如 进程 文件. 段 . 设备) 实施 强制 访问 控制 ， 
为 这 些 主体 及 客体 指定 敏感 标记 。 

(2) 安全 标记 。 主 要 通过 对 主体 和 客体 进行 标记 以 增强 访问 控制 力度 ,可 信 计 算 机 
应 维护 与 主体 及 其 控制 的 存储 客体 (例如 进程 文件. 段 . 设 备 ) 相 关 的 敏感 标记 (这 些 标记 
是 实施 强制 访问 的 基础 ) ;为 了 输入 未 加 安全 标记 的 数据 ,可 信 计 算 机 向 授权 用 户 要 求 并 
接受 这 些 数据 的 安全 级 别 , 并 且 可 交 由 可 信 计 算 机 进行 审计 。 

(3) 身份 鉴别 。 可 信 计 算 机 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,并 且 可 信 计 
算 机 维护 用 户 身 份 识别 数据 并 确定 用 户 访问 权 及 授权 数据 ;可 信 计 算 机 使 用 这 些 数据 鉴 
别 用 户 身 份 , 并 使 用 保护 机 制 (例如 口令 ) 来 鉴别 用 户 的 身份 ;阻止 非 授 权 用 户 访问 用 户 身 
份 鉴别 数据 ;将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 。 

(4) 客体 重用 。 在 可 信 计 算 机 的 空闲 存储 客体 空间 中 ,对 客体 指定 、 分 配 或 再 分 配 一 
个 主体 之 前 ,撤销 客体 所 含 信息 的 所 有 授权 ;当主 体 获得 对 一 个 已 被 释放 的 客体 的 访问 权 
时 ,当前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

(5) 安全 审计 。 可 信 计 算 机 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ,并 能 阻 
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止 非 授权 的 用 户 对 它 访问 或 破坏 。 审 计 对 象 包 括 的 事件 有 : 使 用 身份 鉴别 机 制 ,将 客体 
引入 用 户 地 址 空间 (例如 打开 文件 ,程序 初始 化 ) ,删除 客体 ,由 操作 员 、 系 统管 理 员 或 (和 ) 
系统 安全 管理 员 实施 的 动作 ,以 及 其 他 与 系统 安全 有 关 的 事件 。 对 这 些 事件 的 具体 审计 
内 容 包 括 : 事件 的 日 期 和 时 间 、 用 户 、 事 件 类 型 .事件 是 否 成 功 。 对 于 身份 鉴别 事件 ,审计 
记录 包含 请 求 的 来 源 (例如 终端 标识 符 ) ;对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 
事件 ,审计 记录 包含 客体 名 及 客体 的 安全 级 别 。 此 外 ,可 信 计 算 机 具有 审计 更 改 可 读 输出 
记号 的 能 力 。 对 无 法 由 可 信 计 算 机 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 记录 接口 ,可 
由 授权 主体 调用 。 这 些 审计 记录 区 别 于 可 信 计 算 机 独立 分 辩 的 审计 记录 。 

(6) 数据 完整 性 。 可 信 计 算 机 通过 自主 和 强制 完整 性 策略 ,阻止 非 授 权 用 户 修改 或 
破坏 敏感 信息 。 


2 基于 主机 的 入 侵 检测 

基于 主机 的 入 侵 检测 系统 的 目标 是 以 接近 实时 的 方式 识别 出 网 络 内 部 的 使 用 者 对 某 
个 主机 的 未 经 授权 的 使 用 、 误 用 或 滥用 的 情况 ,适合 监控 特定 用 户 或 文件 的 活动 。 它 的 检 
测 对 象 包括 主机 和 服务 器 的 各 个 方面 的 信息 ,例如 操作 系统 日 志文 件 , 存 取 日 志文 件 . 用 
户 应 用 程序 文件 .用 户 定义 的 应 用 程序 策略 等 。 基 于 主机 的 入 侵 检测 系统 对 个 人 服务 器 
和 应 用 程序 容易 配置 ,能 够 提供 可 定制 的 安全 性 。 

基于 主机 的 人 侵 检测 系统 通常 作为 基于 网 络 的 入侵 检测 系统 的 补充 ,其 安全 需求 主 
要 包括 : 

(1) 检测 注册 表 的 改动 。 

(2) 能 够 监视 主机 上 的 文件 的 使 用 情况 。 

(3) 能 够 检测 文件 和 消息 的 完整 性 (基于 密码 技术 ,而 非 简单 的 校 验 和 技术 ) 。 

(4) 具备 可 定制 的 系统 检查 能 力 。 

(5) 具备 审计 过 程 自动 复位 能 力 。 

(6) 能 够 支持 远程 管理 。 

(7) 能 够 将 入 侵 事 件 捕获 到 标准 化 的 数据 库 系统 中 。 

(8) 具有 可 配置 的 .自动 的 .基于 规则 的 响应 能 力 。 

(9) 能 够 使 审计 日 志 所 带 来 的 负载 与 响应 能 力 保持 平衡 。 

(10) 能 够 向 一 个 集中 化 的 系统 管理 中 心 进行 报警 ,并 采用 电子 邮件 (或 传呼 .传真 等 
方式 ) 对 用 户 进行 报警 。 

(11) 能 够 与 基于 网 络 的 人 侵 检测 系统 之 间 进 行 集成 。 

3 基于 主机 的 漏洞 扫描 

基于 主机 的 漏洞 扫描 通过 主机 扫描 器 进行 。 主 机 扫描 器 是 运行 于 主机 自身 中 的 软件 
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程序 ,以 周期 性 的 或 按 需 启动 的 模式 运行 ,在 主机 系统 的 内 部 检测 主机 的 安全 状况 。 

基于 主机 的 漏洞 扫描 的 安全 需求 主要 包括 : 

(1) 应 该 选用 来 源 可 靠 的 基于 主机 的 漏洞 扫描 器 ,以 免 无 法 检测 出 主机 中 实际 存在 
的 漏洞 ,或 引入 新 的 脆弱 性 。 

(2) 必须 确定 正确 的 扫描 时 间 和 扫描 方式 ,以 免 造 成 类 似 实际 攻击 事件 所 造成 的 


影 影响 。 


4 基于 主机 的 恶意 代码 检测 与 防范 

基于 主机 的 恶意 代码 检测 与 防范 的 安全 需求 与 基于 网 络 的 恶意 代码 检测 与 防范 的 安 

需求 中 的 部 分 需求 类 似 ,主要 包括 ， 

(1) 能 够 进行 数据 完整 性 检测 。 

(2) 能 够 以 实时 方式 或 按 需 进行 恶意 代码 扫描 。 

(3) 对 主机 运行 产生 尽 可 能 小 的 影响 。 

(4) 能 够 通过 有 关 的 服务 器 或 控制 台 对 受 感染 主机 进行 的 必要 隔离 。 

(5) 能 够 提供 相应 的 响应 服务 ,向 网 络 (或 系统 ) 管 理 员 和 用 户 ( 例 如 被 检测 出 带 有 恶 
意 代码 的 电子 邮件 的 发 送 者 与 接收 者 ) 报 警 。 

(6) 能 够 通过 网 络 或 者 其 他 方式 及 时 进行 版 本 升级 。 


5 基于 主机 的 文件 完整 性 检验 

基于 主机 的 文件 完整 性 检验 通常 是 依据 事件 (例如 文件 访问 ) 或 需求 ,并 采用 离线 方 
式 和 周期 性 方式 进行 。 文 件 完整 性 检验 的 对 象 包括 系统 注册 文件 ,文件 权限 .安全 策略 、 
账号 信息 等 。 文 件 完整 性 检验 通常 通过 文件 完整 性 检验 器 进行 。 

文件 完整 性 检验 器 的 安全 需求 主要 包括 : 

(1) 能 够 进行 自 检 。 

(2) 每 个 系统 有 一 个 需要 被 监视 的 文件 或 数据 结构 (包括 数据 结构 和 环境 ,例如 
LDAP 和 X. 509) 的 集合 。 

(3) 支持 用 户 方便 地 添加 需要 监视 的 文件 或 数据 结构 。 

(4) 标识 符 的 设计 采用 强 密码 校 验 和 。 

(5) 能 够 自动 恢复 “干净 的 ”文件 或 数据 结构 。 


6 容 灾 、 备 份 与 恢复 

容 灾 、 备 份 与 恢复 用 于 确保 系统 对 灾害 、 攻 击 和 破坏 具备 一 定 的 抵抗 能 力 , 其 安全 需 
求 主要 包括 : 

(1) 在 进行 系统 设计 时 必须 考虑 面临 的 各 种 威胁 并 制定 合理 可 行 的 容 灾 策 略 (包括 
采用 分 布 式 的 体系 结构 和 数据 存储 方式 ) ,为 有 效 避 免 任 何 形式 的 单 点 故障 ,应 该 适当 采 
22 


EGG 2.2 信息 安全 需求 分 析 mm 


用 集群 配置 。 
(2) 采用 成 本 合理 、 实 施 有 效 地 备份 策略 ,依据 需要 建立 必要 的 异地 容 灾 备份 中 心 。 
(3) 及 时 更 新 系统 版 本 ,及 时 修补 已 经 发 现 的 系统 漏洞 。 
(4) 及 时 更 新 老化 ,不 稳定 的 设备 和 存储 介质 。 


223 网 络 安全 


网 络 安全 为 信息 系统 能 够 在 安全 的 网 络 环境 中 运行 提供 支持 ,一 方面 ,确保 网 络 系统 
安全 运行 ,提供 有 效 地 网 络 服务 ; 另 一 方面 ,确保 在 网 上 传输 数据 的 机 密 性 、 完 整 性 和 可 用 
性 等 。 网 络 安全 应 从 结构 安全 ,访问 控制 ,安全 审计 、 边 界 完整 性 检查 、 入 侵 检 测 与 防范 、 
恶意 代码 检测 与 防范 、 网 络 设备 防护 等 方面 全 面 考虑 其 安全 性 需求 。 下 面 将 从 网 络 上 的 
信息 传输 安全 需求 .网络 边界 防护 安全 需求 ,以 及 网 络 上 的 检测 与 响应 安全 需求 介绍 网 络 
安全 的 安全 需求 。 


1 信息 传输 安全 需求 

信息 传输 安全 需求 通常 与 链 路 加 密 技术 、VPN 应 用 ,以 及 无 线 局 域 网 (WLAN) 和 微 
波 与 卫星 网 等 信息 传输 途径 有 关 。 

链 路 加 密 的 目的 是 对 传输 中 的 数据 流 进行 加 密 , 以 防止 通信 线路 上 的 信息 泄漏 . 搭 线 
窃听 、 自 改 和 破坏 。 链 路 加 密 的 特点 是 侧重 于 在 通信 链 路 上 对 数据 流 进行 加 密 ( 不 考虑 位 
于 信 源 和 信 宿 的 数据 流 的 加 密 问 题 ) ,通过 在 各 种 链 路 上 采用 不 同 的 加 密 密 钥 提 供 数据 安 
全 保护 ,面向 结 点 ,对 网 络 高 层 主体 透明 ,对 高 层 的 协议 信息 (地 址 、 检 错 、 帧 头 、 帧 尾 等 ) 都 
进行 加 密 。 一 旦 采用 了 链 路 加 密 ,数据 便 以 密 文 形式 传输 。 

链 路 加 密 通 常 使 用 对 称 密码 算法 提供 点 对 点 式 的 加 密 通 信 , 实 现 措施 主要 是 在 链 路 
上 配置 链 路 加 密 设备 (主要 是 各 种 链 路 密码 机 )。 例 如 ,在 高 速 调制 解 调 器 (modem) 之 后 
安装 RS422/V. 35 接口 的 高 速 信道 密码 机 ,实现 信道 加 密 。 一 般 情况 , 链 路 加 密 产 品 主要 
用 于 电话 网 .DDN 专线 .卫星 点 对 点 通信 环境 。 这 些 设备 包括 异步 链 路 密码 机 和 同步 线 
路 密码 机 。 其 中 ,异步 线路 密码 机 主要 用 于 电话 网 ,同步 线路 密码 机 则 可 用 于 许多 专线 环 
境 。 密 码 机 对 所 有 用 户 数据 进行 加 密 , 用 户 数据 通过 通信 线路 送 到 另 一 结 点 后 立即 被 解 
密 。 因 为 加 密 后 的 数据 不 能 进行 路 由 交换 ,中 央 结 点 必须 通过 解密 才能 得 到 路 由 信息 。 
在 加 密 后 的 数据 不 需要 进行 路 由 交换 的 情况 下 (例如 DDN 专线 ), 用 户 可 以 自行 选择 路 
由 加 密 设备 。 

早期 的 链 路 加 密 技术 只 能 保证 单 链 路 的 安全 。 在 L2TP 和 PP2P 技术 出 现 后 ,通过 
链 路 加 密 也 能 够 同时 确保 多 链 路 的 安全 。 链 路 加 密 的 优点 是 实现 起 来 比较 容易 ,只 需 将 
一 对 密码 设备 安装 在 两 个 结 点 间 的 通信 线路 上 并 使 用 同样 的 密 钥 即 可 ,对 数据 和 报头 同 
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时 加 密 , 加 密 运 算 在 密码 设备 中 实现 。 链 路 加 密 的 局 限 性 是 : 全 部 报 文 都 以 明文 形式 通 
过 所 有 结 点 ,在 结 点 上 ,数据 容易 受到 非法 访问 或 破坏 ;此 外 ,由 于 每 条 链 路 都 需要 一 对 加 
密 设 备 和 一 个 独立 的 密 钥 ,在 需要 保护 的 链 路 数目 较 多 时 , 链 路 加 密 的 成 本 也 较 高 。 

1) VPN 

虚拟 专用 网 (VPN) 指 的 是 在 公共 通信 设施 的 基础 上 实现 的 任何 专用 网 络 。 它 可 以 
通过 利用 公共 通信 设施 或 租用 通信 线路 (例如 ,交换 和 面向 连接 的 帧 中 继 或 ATM ,面向 
包 交 换 和 无 连接 的 Internet 或 SMDS) ,拨号 服务 (例如 基于 ISDN 或 数字 用 户 线路 DSL) 
等 方式 实现 。 

采用 VPN 的 信息 传输 安全 需求 主要 包括 : 

(1) 必须 支持 不 同 的 安全 连接 策略 。 

(2) 必须 保证 信息 的 机 密 性 和 完整 性 。 

(3) 可 以 有 选择 地 确保 数据 完整 性 (例如 对 于 视频 和 音频 数据 的 获取 在 一 般 情况 下 
对 数据 完整 性 没有 严格 要 求 ) 。 

(4) 能 够 以 安全 的 方式 在 网 络 体系 结构 不 同 的 网 络 之 间 传 输 信息 ,能 够 支持 位 于 不 
同 的 网 络 层 和 不 同 的 安全 保障 环境 下 的 网 络 操作 。 

(5) 由 于 VPN 关心 的 是 对 外 部 访问 进行 控制 ,为 防止 通过 网 络 层 以 上 的 操作 将 恶意 
的 内 部 人 员 或 恶意 代码 引入 网 络 并 造成 威胁 ,需要 在 VPN 内 部 建立 安全 域 ,增加 防火 
墙 ,应 用 基于 终端 系统 的 密码 机 制 ,并 建立 针对 隐 通 道 的 控制 机 制 。 

2) 无 线 局 域 网 

无 线 局 域 网 的 实现 方式 通常 是 将 笔记 本 计算 机 等 便携 式 设备 通过 无 线 接 入 的 方式 连 
接 到 有 线 插入 网 络 处 理 器 。 它 主要 用 于 网 络 用 户 对 网 络 的 可 移动 性 、 伸 缩 性 .安装 速度 、 
简易 和 灵活 性 等 方面 有 重要 需求 的 情况 下 。 为 实现 对 数据 包 的 高 效 传输 ,无 线 局 域 网 采 
用 了 IEEE 802.11 标准 。 同 时 ,与 其 他 协议 不 同 的 是 ,为 确保 实时 流 业 务 所 需 的 带宽 和 
低 干扰 、 低 误 码 ,无 线 局 域 网 还 规定 了 高 级 别 的 优先 权 并 采用 了 带 有 优先 权 的 重 发 机 制 。 
除 此 之 外 ,无 线 局 域 网 使 用 的 传输 协议 和 数据 协议 通常 与 有 线 网 络 相 同 , 但 是 相 比 而 言 所 
需 的 带宽 略 低 。 

无 线 局 域 网 上 同样 具有 IP 网 络 上 的 所 有 安全 风险 ,同时 还 面临 无 线 信道 安全 风险 ， 
例如 : 空中 泄露 .IP 头 通 信 流 分 析 、WLAN 信号 欺骗 WLAN 干扰 ,拒绝 服务 等 ;此 外 ， 
WLAN 还 面临 一 个 特别 的 安全 风险 , 即 信息 实际 检测 范围 比 通信 范围 大 ,攻击 者 可 在 其 
通信 范围 之 外 窃听 到 该 网 络 上 传输 的 数据 。 

无 线 局 域 网 的 网 络 环境 安全 需求 主要 包括 : 

(1) 安全 的 接 入 网 关 或 接 入 机 制 。 

(2) 对 消息 的 强加 密 和 通信 流 ( 包 括 头 信息 ) 安 全 有 明确 要 求 。 
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(3) 在 局 域 网 内 ,能 够 通过 无 线 接 入 点 以 足够 高 的 数据 通信 速率 与 有 线 网 络 进行 通 
信 , 防 止 拥塞 。 

(4) 能 够 在 网 络 上 的 各 移动 元 素 之 间 进 行 近 范围 的 通信 。 

(5) 能 够 尽 可 能 减 小 针对 无 线 传输 特征 的 识别 行为 。 

无 线 局 域 网 用 户 和 移动 终端 的 安全 需求 主要 包括 : 

(1) 具有 针对 特定 受 限 区 域 的 访问 控制 机 制 。 

(2) 具有 针对 用 户 和 移动 终端 的 标识 与 鉴别 机 制 。 

(3) 为 确保 数据 机 密 性 ,用 户 和 移动 终端 的 软件 应 该 与 无 线 局 域 网 中 的 软件 保持 兼容 。 

(4) 为 保证 无 线 局 域 网 上 终端 的 标识 与 鉴别 .通信 的 机 密 性 与 完整 性 ,建议 在 无 线 局 
域 网 的 终端 中 采取 端 到 端的 VPN 解决 方法 。 

3) 微波 与 卫星 通信 

微波 通信 的 安全 需求 主要 是 确保 数据 的 机 密 性 。 通 常 可 以 采用 在 复 接 器 (例如 ,路 由 
器 ) ,数字 图 像 设 备 等 各 种 终端 与 信道 传输 设备 之 间 配 置 高 速 信道 密码 机 的 方式 实现 。 

卫星 通信 网 可 由 TES 语音 系统 、ISBN/PES 数据 网 络 传 输 系统 .UMOD 点 对 点 /点 
对 数据 传输 系统 组 成 ,支持 语音 .数据 .图像 等 各 种 信息 的 传输 。 在 卫星 通信 中 ,在 下 行 链 
路 传输 处 窃听 数据 的 行为 可 以 在 卫星 覆盖 区 的 任意 地 方 完成 ,同时 ,卫星 通信 也 容易 遭受 
以 电子 干扰 方式 进行 的 拒绝 服务 攻击 。 

卫星 数据 通信 的 安全 需求 主要 包括 : 

(1) 链 路 传输 的 安全 性 (主要 是 机 密 性 和 完整 性 ) 。 

(2) 采取 适当 强度 的 网 络 边界 防护 措施 。 

移动 卫星 用 户 系统 由 用 户 环境 、 服 务 提供 商 网 络 和 公共 网 络 组 成 。 可 以 在 近期 或 不 
远 的 将 来 得 到 部 分 使 用 的 这 类 卫星 服务 计划 只 有 两 个 , 即 贸 星 系统 和 全 球星 系统 。 移 动 
卫星 系统 的 信息 传输 安全 需求 主要 包括 : 

(1) 信息 传输 的 连续 性 。 

(2) 准确 和 及 时 的 地 理 位 置 定位 能 力 。 

(3) 针对 用 户 和 接收 方 的 标识 与 鉴别 机 制 。 

(4) 语音 和 数据 的 机 密 性 ,数据 的 完整 性 。 


2 网 络 边界 防护 安全 需求 

网 络 边界 防护 用 于 限制 外 部 非 授权 用 户 对 内 部 网 络 的 访问 ,通常 由 防火 墙 、 接 和 人 安全 
控制 设备 和 安全 网 关 等 网 络 安全 设备 共同 提供 。 只 要 网 络 相互 连接 ,就 应 该 实施 网 络 边 
界 防护 策略 。 一 般 地 ,该 策略 必须 与 信息 敏感 性 ,不 同 敏感 性 级 别 之 间 的 差异 ` 威 胁 和 操 
作 环 境 等 因素 保持 一 致 
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1) 通用 安全 需求 

网 络 边界 防护 的 通用 安全 需求 主要 包括 : 

(1) 为 保证 边界 内 部 网 络 用 户 与 所 期 望 的 外 部 用 户 或 系统 进行 通信 ,网 络 边界 防护 
策略 不 应 该 强迫 用 户 使 用 任何 非 标准 的 协议 或 不 规范 的 操作 模式 ,不 应 该 使 用 任何 可 能 
限制 互 操 作 性 的 流程 。 

(2) 对 信息 源 .目的 地 和 服务 进行 限制 , 阻 断 危险 的 协议 (例如 ICMP 协议 ) 。 

(3) 对 进入 和 越 出 网 络 边界 的 通信 都 进行 限制 。 

(4) 限制 可 执行 代码 的 服务 和 下 载 能 力 。 

(5) 对 网 络 边界 的 外 来 访问 者 ,应 用 标识 和 鉴别 机 制 ( 包 括 使 用 软件 和 硬件 令 牌 ) 。 

(6) 在 适当 的 时 候 使 用 访问 控制 列表 。 

(7) 为 防止 未 授权 实体 更 改 有 关 规 则 ,应 该 采用 认证 机 制 。 

(8) 为 防止 攻击 者 截获 能 够 进行 网 络 访问 并 获得 访问 控制 权限 的 数据 ,采用 加 密 技 
术 ( 包 括 对 远程 管理 的 数据 进行 加 密 ) 。 

(9) 为 防范 潜在 的 攻击 行为 ,采用 网 络 地 址 转换 机 制 隐藏 有 关 边 界 内 部 网 络 的 地 址 
和 拓扑 结构 的 信息 。 

(10) 对 恶意 软件 进行 扫描 和 监控 。 

(11) 记录 和 分 析 源 路 径 与 其 他 信息 包 , 对 攻击 行为 做 出 反应 并 进行 限制 。 

(12) 操作 者 能 够 方便 和 正确 地 实施 网 络 边 界 保护 机 制 。 

(13) 具备 自 监控 和 告警 能 力 。 

由 于 上 述 需 求 需要 具体 落实 到 不 同 的 网 络 安全 设备 上 ,而 这 些 设备 的 功能 又 各 自 不 
同 ,所 以 其 安全 需求 又 各 自 有 别 。 网 络 边 界 防护 对 于 这 些 网 络 安全 设备 的 要 求 也 不 一 样 。 
下 面 以 防火 墙 、 安 全 网 关 、 安 全 路 由 器 、 远 程 访问 为 例 进 行 说 明 。 

2) 对 防火 墙 的 需求 

防火 墙 的 作用 是 防止 位 于 网 络 内 部 的 信息 系统 遭受 外 部 的 攻击 (包括 未 经 授权 侵入 
系统 、 修 改 或 删除 数据 ,使 用 网 络 资源 或 服务 ,以 及 拒绝 服务 等 ) ,并 支持 内 部 的 用 户 使 用 
安全 连接 .并 对 边界 内 部 的 数据 传输 与 存储 提供 保护 。 

网 络 边界 防护 需求 对 防火 墙 的 要 求 是 ， 

(1) 防火 墙 自身 应 该 能 够 防 渗透 ,因此 应 该 建立 在 可 信 操 作 系统 (可 以 是 删除 了 不 必 
要 的 可 执行 代码 ,编码 器 和 其 他 不 安全 文件 的 操作 系统 简 缩 版 本 ) 之 上 ,或 者 采用 强制 执 
行 机 制 或 者 类 似 的 机 制 。 

(2) 应 该 支持 对 网 络 访问 接 入 点 的 保护 ,这 种 保护 对 用 户 、 相 关 组 件 和 网 络 性 能 的 影 
响应 该 尽 可 能 地 小 ,应 该 针对 未 来 的 需要 具有 可 扩展 性 。 

(3) 能 够 防止 攻击 者 窃取 有 关 防 火 墙 配置 规则 、 介 质 访问 控制 和 其 他 控制 信息 。 
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(4) 能 够 防范 各 种 网 络 攻击 ,确认 攻击 的 来 源 和 类 型 ,对 攻击 做 出 反应 ,并 对 攻击 造 
成 的 破坏 进行 恢复 。 

(5) 可 信用 户 接 入 前 必须 通过 智能 卡 、 令 牌 等 方法 获得 认证 。 

(6) 在 需要 加 解密 的 时 候 ,必须 遵循 统一 的 加 密 和 密 钥 管理 标准 ,采用 具有 兼容 性 的 
加 密 系统 ,以 便 不 同 厂商 的 防火 墙 之 间 能 够 进行 通信 。 

(7) 防火 墙 组 件 的 配置 必须 合理 。 

(8) 防火 墙 应 该 充分 利用 各 种 自 监视 工具 ,以 便 提 供 必 要 的 访问 控制 机 制 ,加 强 审计 
能 力 , 并 实施 针对 防火 墙 文件 系统 的 整体 检测 。 

3) 对 安全 网 关 的 需求 

安全 网 关 依据 网 络 的 安全 策略 对 进出 网 络 边界 的 信息 流 进 行 控 制 和 必要 的 处 理 。 网 
络 边界 防护 需求 对 安全 网 关 的 要 求 是 : 

(1) 自身 应 该 能 够 防 渗透 ,因此 应 该 建立 在 可 信 平 台 ( 可 以 是 删除 了 不 必要 的 可 执行 
代码 、 编 码 器 和 其 他 不 安全 文件 的 操作 系统 简 缩 版 本 ) 之 上 ,或 者 采用 强制 执行 机 制 (或 者 
类 似 的 机 制 ) 。 

(2) 应 该 支持 对 于 报 文 构造 的 验证 ,包括 对 可 配置 的 报 文 的 内 容 进 行 验证 。 

(3) 应 该 支持 采用 基于 规则 和 密级 由 高 到 低 的 方式 ,对 报 文 内 容 进 行 修改 。 

(4) 应 该 确保 报 文 的 安全 级 别 不 低 于 报 文中 附件 的 安全 级 别 。 

(5) 应 该 能 够 在 报 文通 过 时 剥离 其 中 的 数字 签名 。 

(6) 应 该 支持 每 个 报 文 上 的 安全 ID 标记 的 可 编程 集合 。 

(7) 在 连接 两 个 具有 不 同 密级 的 网 络 的 情况 下 ,安全 网 关 应 该 支持 在 这 两 个 网 络 之 
间 合 法 的 报 文 传输 ,同时 也 应 该 防止 信息 由 高 密级 网 络 在 未 得 到 允许 的 情况 下 流向 低 密 
级 网 络 。 

(8) 应 该 对 成 功 通过 或 未 能 通过 的 报 文 进行 记录 。 

4) 对 安全 路 由 器 的 要 求 

网 络 边界 防护 对 于 安全 路 由 器 的 要 求 与 路 由 安全 和 数据 机 密 性 都 有 关系 。 这 些 要 求 
有 具体 是 : 

(1) 支持 相应 的 网 络 协议 (例如 , RIP 路 由 协议 .SNMP 协议 、X. 25 协议 、Frame 
Relay 协议 .TCP/IP 协议 .PPP 协议 IEEE 802. 3 Ethernet 协议 等 ) 。 

(2) 支持 访问 控制 。 

(3) 支持 设置 非法 IP 地 址 。 

(4) 支持 根据 设 定 的 IP 地址 范围 所 进行 加 密 和 解密 操作 。 

5) 对 远程 访问 的 要 求 

远程 访问 支持 移动 用 户 和 固定 用 户 通 过 电话 线 (例如 ,拨号 接 入 ) 或 数据 网 络 进行 数 

27 


IE 第 2 章 信息 安全 体系 结构 规划 与 设计 mm 


据 访问 。 另 外 , 它 也 支持 用 户 通过 移动 接 入 等 方式 访问 网 络 内 部 资源 (包括 飞 地 资源 ) 。 
远程 用 户 采 用 的 连接 技术 通常 涉及 PSTN 数字 无 线 业 务 网 ,ISDN 等 。 这 些 网 络 不 仅 会 
增 大 远程 访问 的 威胁 ,也 会 因此 而 对 安全 解决 方案 带 来 体系 结构 方面 的 制约 。 远 程 访问 
连接 期 间 ,远程 用 户 所 用 设备 与 远程 被 访问 设备 被 认为 具有 同样 的 安全 级 别 。 网 络 边界 
防护 对 于 远程 访问 的 要 求 是 : 

(1) 远程 用 户 终端 上 的 密码 应 用 接口 应 该 与 本 地 的 密码 应 用 接口 相似 ,以 便 支持 远 
程 用 户 访问 该 终端 上 的 资源 。 

(2) 采用 连续 的 强 认证 。 

(3) 远程 用 户 所 用 设备 和 远程 被 访问 设备 之 间 的 全 部 信息 流 均 应 该 具备 机 密 性 , 远 
程 用 户 所 用 设备 与 其 所 处 网 络 (例如 Intranet) 之 间 的 数据 流 应 该 具备 完整 性 。 

(4) 远程 用 户 所 用 的 硬件 和 软件 应 该 具备 完整 性 。 

(5) 远程 用 户 应 该 知道 安全 特性 被 激活 的 时 间 ,并 且 能 够 方便 地 识别 出 这 种 情况 。 

(6) 有 关 远 程 访问 安全 的 解决 方案 应 该 对 远程 用 户 的 正常 操作 产生 尽 可 能 小 的 影 
响 ,并且 不 需要 任何 特殊 的 培训 。 

(7) 当 远 程 用 户 被 分 离 时 ,远程 设备 应 该 是 无 密级 的 设备 , 即 远程 用 户 端 和 远程 被 访 
问 端 设 备 上 的 数据 和 有 关 操 作 都 应 该 在 不 受 远 程 用 户 控制 时 得 到 足够 的 保护 ,以 防止 非 
受权 的 数据 泄露 ,数据 修改 或 操作 。 

(8) 移动 用 户 的 安全 功能 套件 不 应 该 包括 任何 特别 的 设备 。 


3 网 络 上 的 检测 与 响应 安全 需求 

网 络 上 的 检测 与 响应 安全 需求 具体 体现 在 基于 网 络 的 入 侵 检 测 .漏洞 扫描 、 恶 意 代 码 
防范 和 与 网 络 有 关 的 应 急 响应 等 方面 。 

1) 入 侵 检测 

基于 网 络 的 入 侵 检测 系统 执行 检测 的 基础 是 比较 用 户 的 会 话 ( 命 令 ) 参 数 和 攻击 者 所 
采用 技术 的 特征 。 它 只 是 简单 地 监视 网 络 上 的 信息 传输 ,通常 不 具备 加 /解密 能 力 。 基 于 
网 络 的 入侵 检测 系统 的 安全 需求 主要 包括 ， 

(1) 该 系统 应 该 能 够 进行 自 检 测 ,防止 未 经 授权 的 访问 和 修改 ,并 在 必要 的 情况 下 通 
知 服务 控制 台 。 

(2) 如 果 该 系统 发 生 了 崩溃 现象 (无 论 是 意外 事件 还 是 恶意 行为 所 致 ) , 它 应 该 能 够 
得 以 恢复 ,并 在 启动 后 恢复 到 原先 的 状态 并 继续 此 前 未 能 完成 的 操作 。 

(3) 该 系统 具备 合理 的 网 络 兼容 性 。 

(4) 该 系统 能 够 升级 攻击 特征 数据 ,使 得 当 新 的 攻击 出 现 以 后 ,系统 能 很 快 检测 到 新 
的 攻击 方式 。 
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(5) 该 系统 应 该 便于 依据 被 检测 系统 的 安全 策略 进行 操作 ,并且 应 
统 和 用 户 行为 的 变化 。 

2) 漏洞 扫描 

基于 网 络 的 漏洞 扫描 在 网 络 上 对 目标 结 点 进行 探测 ,检测 网 络 组 件 (包括 主机 ) 在 网 
络 连接 中 可 见 的 漏洞 ,并 在 此 基础 上 识别 网 络 安全 方案 中 的 漏洞 。 它 需要 获知 网 络 边界 
内 部 所 有 相关 组 件 的 有 关 信息 。 基 于 网 络 的 漏洞 扫描 的 安全 需求 主要 包括 ， 

(1) 由 于 此 类 漏洞 扫描 器 仅 对 其 配置 中 设 定 的 对 象 进行 检测 , 它 的 配置 和 设置 必须 
合理 。 

(2) 由 于 此 类 漏洞 扫描 器 通常 通过 检查 对 象 的 属性 或 通过 模拟 攻击 者 的 行为 来 进行 
检测 ,所 以 必须 确定 正确 的 扫描 时 间 和 扫描 方式 ,以 免 造 成 类 似 实 际 攻击 事件 所 造成 的 
影响 。 

3) 恶意 代码 检测 与 防范 

影响 恶意 代码 检测 与 防范 效果 的 关键 因素 是 该 类 型 产品 对 于 恶意 代码 的 定义 (例如 
厂商 是 否 及 时 更 新 恶意 代码 数据 库 ) 和 产品 的 使 用 方式 是 否 正确 (例如 是 否 及 时 升级 ) 和 
方便 。 基 于 网 络 的 恶意 代码 检测 与 防范 的 安全 需求 主要 包括 : 

(1) 能 够 进行 数据 完整 性 检测 。 

(2) 从 高 度 可 信 的 来 源 获取 或 下 载 恶意 代码 检测 与 防范 工具 (软件 或 硬件 ) 。 

(3) 能 够 对 网 络 上 的 数据 包 进行 监测 。 

(4) 能 够 采用 某 种 适当 的 方式 对 包括 电子 邮件 、Web 通信 、FTP 会 话 、 加 密 消息 或 压 
缩 文件 在 内 的 所 有 进出 网 络 的 数据 进行 检测 。 

(5) 能 够 以 实时 方式 或 按 需 进行 恶意 代码 扫描 。 

(6) 能 够 定位 恶意 代码 的 来 源 和 类 型 ,并 依据 入侵 轨迹 (或 者 支持 采用 某 个 灾难 恢复 
计划 ) 重 建 系统 。 

(7) 对 网 络 用 户 和 网 络 上 的 相关 组 件 产生 尽 可 能 小 的 影响 。 

(8) 能 够 支持 服务 器 级 别 或 控制 台 级 别 的 隔离 。 

(9) 能 够 提供 相应 的 基于 网 络 的 响应 服务 ,向 网 络 (或 系统 ) 管 理 员 和 用 户 ( 例 如 被 检 
测 出 带 有 恶意 代码 的 电子 邮件 的 发 送 者 与 接收 者 ) 报 警 。 

(10) 能 够 通过 网 络 或 者 其 他 方式 及 时 进行 版 本 升级 。 

4) 应 急 响 应 

应 急 响应 是 网 络 边界 防护 中 的 重要 内 容 , 其 安全 需求 主要 包括 

(1) 有 合理 、 快 捷 的 隔离 措施 可 供 选 用 。 

(2) 采用 有 效 地 技术 保留 网 络 遭 受 各 种 入侵 的 原始 数据 ,以 便 进行 必要 的 取证 。 

(3) 依据 必要 的 容 灾 、 备 份 和 恢复 机 制 , 尽 快 恢复 网 络 的 正常 运行 。 
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数据 安全 主要 关注 信息 系统 中 存储 、 传 输 和 处 理 等 过 程 中 的 数据 的 安全 性 ,其 目的 是 
实现 数据 的 机 密 性 .完整 性 .可 控 性 、 不 可 和 否认 性 ,并 进行 数据 备份 和 恢复 。 


1 数据 机 密 性 

数据 机 密 性 指 传输 和 存储 的 数据 不 被 非法 获取 。 其 安全 需求 与 数据 所 处 的 位 置 、. 类 
型 数量、 价值 有 关 ,涉及 加 密 和 访问 控制 这 两 种 安全 机 制 , 具 体 包 括 以 下 几 项 ， 

(1) 数据 加 密 。 

(2) 数据 隔离 。 

(3) 通信 流 加 密 ( 例 如 数据 填充 或 地 址 隐藏 ) 。 


2 数据 完整 性 

数据 完整 性 指 传输 或 存储 的 数据 没有 被 非法 修改 (包括 数据 进入 传输 信道 时 的 序列 
号 改变 或 重 放 ) ,删除 。 其 安全 需求 与 数据 所 处 的 位 置 、 类 型 数量、 价值 有 关 , 涉 及 访问 控 
制 , 消 息 认 证 和 数字 签名 等 安全 机 制 ,具体 包括 以 下 几 项 : 

(1) 防止 未 授权 修改 数据 。 

(2) 对 非 授权 数据 修改 的 情况 进行 检测 并 记 入 日 志 。 

(3) 与 源 认证 机 制 相 结合 。 

(4) 与 数据 所 处 的 网 络 协议 层 的 相关 要 求 相 结合 。 


3 数据 可 控 性 

数据 可 控 性 指数 据 的 复制 ,传输 流向 、 传 输 流 量 和 传输 方式 与 安全 策略 (尤其 是 安全 
域 的 划分 策略 和 网 络 边界 防护 策略 ) 一 致 。 其 安全 需求 与 数据 所 处 的 位 置 . 类 型 .数量 、 价 
值 有 关 ,涉及 访问 控制 ,数字 签名 、. 密 钥 恢 复 、 网 络 管理 等 安全 机 制 , 具 体 包括 以 下 几 项 : 

(1) 禁止 在 未 经 授权 的 情况 下 复制 数据 。 

(2) 防止 数据 非法 由 高 密级 安全 域 流向 低 密 级 安全 域 。 


4 数据 的 不 可 否认 性 

数据 的 不 可 否认 性 指 在 数据 的 传输 过 程 中 ,参与 该 传输 过 程 的 通信 实体 不 能 拒绝 承 
认 其 参与 该 次 传输 过 程 的 行为 。 数 据 的 不 可 否认 性 通常 由 应 用 层 提 供 。 其 安全 需求 与 数 
据 所 处 的 位 置 . 类 型 数量、 价值 ,以 及 参与 数据 传输 过 程 的 实体 有 关 , 涉 及 数字 签名 、 加 
密 、 数 据 源 与 目的 认证 等 安全 机 制 ,具体 包括 以 下 几 项 : 

(1) 具有 数据 源 认证 证 据 的 不 可 否认 性 向 数据 接收 方 提供 有 关 数 据 发 送 方 的 身份 和 
原始 发 送 时 间 的 信息 。 
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(2) 具有 发 送 证 据 的 不 可 否认 性 向 数据 发 送 方 提供 证 据 , 证 明 数 据 被 预订 的 接收 方 
接收 ( 某 些 情况 下 也 包括 证 明 接收 时 间 )。 

(3) 有 可 供 采用 的 审计 服务 ,提供 对 于 涉及 数据 传输 的 各 方 的 可 审计 性 。 

(4) 在 高 级 别 的 安全 保障 环境 中 ,应 该 采用 可 信和 时 间 截 记录 通信 发 生 的 时 间 ,并 对 数 
据 和 时 间 戳 一 同 进行 数字 签名 。 


5 数据 备份 和 恢复 
通过 对 数据 采取 不 同 的 备份 方式 、 备 份 形 式 等 ,保证 系统 重要 数据 在 发 生 破坏 后 能 够 
恢复 。 其 安全 需求 类 似 于 系统 安全 中 的 备份 和 恢复 ,整个 信息 系统 需要 通盘 考虑 。 


225 应 用 安全 


应 用 安全 主要 保障 信息 系统 的 各 种 业务 应 用 程序 安全 运行 ,其 安全 需求 主要 涉及 口 
令 机 制 和 关键 业务 系统 的 对 外 接口 ,包括 电子 邮件 ,文件 传输 ,语音 通信 、 视 频 会 议 与 视频 
点 播 Web 网 站 等 。 它 主要 与 加 密 、 数 字 签 名 \ 访 问 控制 认证 、 密 钥 恢 复 、 网 络 监 控 管 理 
和 行政 管理 等 安全 措施 有 关 。 一 般 地 ,应 从 身份 鉴别 、 安 全 标记 、 访 问 控制 .可 信 路 径 、 安 
全 审计 、 剩 余 信息 保护 .通信 完整 性 .通信 机 密 性 ,不 可 否认 性 、 软 件 容错 ,资源 控制 等 方面 
考虑 应 用 安全 需求 。 下 面 将 从 一 些 典型 业务 应 用 程序 的 角度 介绍 应 用 安全 的 需求 。 

(1) 电子 邮件 的 安全 需求 主要 包括 : 对 电子 邮件 用 户 进行 基于 数字 证 书 的 身份 认 
证 ;支持 基于 PKI 技术 的 邮件 加 解密 、 签 名 及 其 验证 .时 间 戳 等 安全 操作 ;支持 安全 电子 
邮件 的 收发 和 群发 ;能 够 通过 与 电子 业务 客户 端的 软件 进行 集成 ,完成 个 性 化 的 安全 
操作 。 

(2) 文件 传输 是 信息 共享 的 基础 ,具体 涉及 三 个 过 程 , 即 消息 处 理 、 消 息 队列 管理 和 
审计 管理 。 其 安全 需求 主要 包括 : 对 文件 的 发 送 方 与 接收 方 进行 身份 认证 ;确保 文件 在 
其 传输 过 程 中 的 完整 性 (例如 可 采用 数字 签名 、 封 装 与 解析 等 方法 ) ;能够 记录 系统 运行 步 
又 的 出 错 信 息 , 通 过 系统 提供 的 管理 工具 查看 日 志 。 

(3) 语音 通信 的 安全 需求 主要 包括 : 防止 包 窃 听 / 呼 叫 截获 ;进行 身份 认证 和 有 效 消 
除非 授权 访问 ,采用 向 管理 员 通报 未 知 设备 的 方式 防止 呼叫 者 身份 欺诈 ,采用 禁止 呼叫 处 
理 管理 器 配置 未 知 电话 和 访问 控制 仅 允许 已 知 电话 网 相互 通信 的 方式 防止 话费 欺诈 ; 通 
过 呼叫 处 理 管理 器 的 呼叫 设置 记录 提供 防 和 否认 功能 ;防止 IP 欺诈 (例如 ,在 传输 层 交 换 机 
和 状态 防火 墙 上 提供 符合 RFC 2827 和 RFC 1918 技术 要 求 的 过 滤器 ) ;为 操作 系统 .设备 
和 应 用 提供 最 新 的 安全 修复 ,以 便 防范 应 用 层 攻击 ;防范 拒绝 服务 (例如 ,将 语音 和 数据 网 
分 开 能 够 显著 减少 受 拒绝 攻击 的 可 能 性 ); 通过 采用 有 限 信任 模式 和 专用 虚拟 专用 网 
(VLAN) 信 任 关 系 ,预防 基于 信任 关系 的 攻击 。 

(4) 视频 会 议 与 视频 点 播 的 安全 需求 主要 包括 : 对 视频 会 议 的 用 户 进行 身份 认证 ， 
能 够 提供 视频 ,音频 处 理 与 密码 服务 的 接口 ,采用 安全 的 计 费 系统 ,对 视频 点 播 文件 采用 
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加 密 传输 。 

(5) Web 网 站 为 接 入 用 户 提供 统一 的 访问 窗口 和 相关 业务 服务 系统 的 连接 。 其 安全 
需求 主要 包括 : 为 发 布 在 Web 服务 器 和 应 用 服务 器 上 的 信息 提供 防 自 改 服务 ,确保 所 发 
布 的 信息 的 正确 性 和 完整 性 ;具有 针对 Web 访问 流量 的 负载 均衡 功能 ,以 便 确保 整个 
Web 门户 系统 服务 的 可 用 性 ;提供 与 接 入 认证 网 关 的 接口 ,并 且 采 用 自主 开发 的 安全 通 
信 协 议 ,以 确保 各 接口 的 安全 性 与 稳定 性 ;在 节约 成 本 的 情况 下 ,为 提高 系统 的 可 靠 性 ， 
Web 服务 器 应 该 互 为 备份 。 


226 安全 管理 


信息 系统 的 生命 周期 主要 包括 五 个 阶段 : 初始 阶段 ,采购 /开发 阶段 .实施 阶段 .运行 
维护 阶段 、 废 弃 阶 段 。 针 对 这 五 个 阶段 ,下 面 将 从 安全 管理 制度 、 安 全 管理 机 构 、 人 员 安 全 
管理 ,系统 建设 管理 和 系统 运行 维护 管理 等 方面 考虑 其 安全 需求 。 

(1) 安全 管理 制度 ,主要 从 管理 制度 ,制定 和 发 布 . 评 审 和 修订 三 个 方面 分 析 和 确定 

(2) 安全 管理 机 构 , 主 要 从 岗位 设置 ,人员 配 备 .授权 和 审批 ,沟通 和 合作 以 及 审核 和 
检查 五 个 方面 分 析 和 确定 其 安全 需求 。 

(3) 人 员 安 全 管理 ,主要 从 人 员 录 用 、 人 员 离 岗 、 人 员 考 核 ,安全 意识 教育 和 培训 以 及 
外 部 人 员 访 问 管理 五 个 方面 分 析 和 确定 其 安全 需求 。 

(4) 系统 建设 管理 ,主要 从 系统 定 级 、 安 全 方案 设计 、 产 品 采购 和 使 用 、 自 行 软件 开 
发 .外 包 软 件 开发 .工程 实施 ,测试 验收 、 系 统 交付 、 系 统 备案 、 等 级 测评 和 安全 服务 商 选 择 
十 一 个 方面 分 析 和 确定 其 安全 需求 。 

(5) 系统 运行 维护 管理 ,主要 从 环境 管理 ,资产 管理 .介质 管理 ,设备 管理 ,监控 管理 和 
安全 管理 中 心 . 网 络 安全 管理 ,系统 安全 管理 ,恶意 代码 防范 管理 .密码 和 密 钥 管理 ,变更 管 
理 、 备 份 和 恢复 管理 ,安全 事件 处 置 ,应急 预 案 管理 十 三 个 方面 分 析 和 确定 其 安全 需求 。 


2.3 ”信息 安全 体系 结构 的 设计 目标 ,指导 
思想 与 设计 原则 


231 设计 目标 
随 着 各 行 各 业 信息 化 程度 的 深入 ,信息 技术 的 应 用 已 经 与 办 公 方式 .业务 运行 产生 了 
千 丝 万 缕 的 联系 。 这 就 使 信息 安全 体系 结构 的 设计 不 再 是 一 件 仅仅 能 够 由 信息 安全 专业 
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人 员 自 行 完成 的 简单 工作 ,而 是 需要 得 到 用 户 的 密切 协作 。 

设计 信息 安全 体系 结构 的 目标 是 帮助 采用 该 体系 结构 的 用 户 满足 其 信息 安全 需求 ， 
从 而 对 其 相关 资产 进行 保护 。 在 这 里 用户? 可 以 是 任何 具有 信息 安全 需求 的 组 织 机 构 
(包括 企业 ) 的 整体 或 部 分 ,也 可 以 是 具有 信息 安全 需求 的 个 人 。 

对 于 组 织 机 构 而 言 ,在 没有 接受 专业 化 的 信息 安全 技术 与 管理 服务 之 前 ,其 信息 安全 
需求 可 能 会 呈现 出 复杂 多 样 ,难于 表述 的 状况 。 即 使 前 期 有 过 一 些 相关 的 体验 ,一 旦 融 进 
新 的 业务 ,面临 新 的 隐患 ,或 者 了 解 到 也 许可 用 的 新 技术 ,信息 安全 需求 都 会 相应 地 发 生 
变化 。 在 这 种 情况 下 ,为 了 对 组 织 机 构 的 相关 资产 保护 到 位 ,信息 安全 体系 结构 的 设计 人 
员 就 必须 身 临 其 境 , 帮 助 对 方 理 清 各 项 重要 的 资产 ,发 掘 他 们 真实 客观 的 信息 安全 需求 ， 
在 进行 充分 讨论 并 得 到 对 方 确认 之 后 ,提供 解决 方案 。 这 时 ,“ 方 案 ” 可 能 会 较 多 地 涉及 对 
方 的 管理 方式 和 流程 ,或 者 更 多 地 侧重 于 提供 一 种 技术 实施 方法 。 

对 于 个 人 用 户 而 言 , 需 求 相对 会 明确 得 多 ,其 中 以 保护 重要 数据 的 机 密 性 保障 网 络 
与 数据 的 可 用 性 为 重点 。 相 应 地 ， 方 案 ” 会 比较 偏向 于 实现 一 种 或 多 种 信息 安全 技术 。 


232 指导 思想 


设计 信息 安全 体系 结构 的 指导 思想 是 : 遵从 国家 有 关 信 息 安全 的 政策 .法令 和 法 规 ， 
根据 业务 应 用 的 实际 需要 ,结合 信息 安全 技术 与 产品 的 研究 与 开发 现状 、 近 期 的 发 展 目标 
和 未 来 的 发 展 趋势 ,吸取 国内 外 的 先进 经 验 和 成 熟 技 术 , 采 用 科学 的 设计 方法 ,力争 在 设 
计 中 融入 具有 自主 知识 产权 的 技术 与 产品 ,鼓励 技术 与 产品 创新 。 


233 设计 原则 


信息 安全 体系 结构 的 设计 必须 贯彻 信息 系统 安全 工程 的 思想 ,并 遵循 以 下 六 项 基本 
原则 。 


1 原则 一 一 一 需求 明确 
明确 业务 系统 的 信息 化 需求 ,明确 信息 系统 建设 的 信息 安全 需求 ,以 及 拟 采用 的 主要 
信息 安全 技术 与 产品 的 应 用 需求 。 


2 原则 二 一 一 代价 平衡 

对 可 能 面临 的 安全 风险 进行 定性 与 定量 的 评估 ,在 安全 需求 .安全 风险 和 成 本 之 间 进 
行 综合 考虑 和 仔细 权衡 ,制定 相应 的 规范 和 措施 ,确定 实际 可 行 的 安全 策略 ,在 确保 将 信 
息 安全 风险 控制 在 可 接受 范围 内 的 前 提 下 ,将 信息 安全 体系 结构 的 整体 成 本 控制 在 合理 
范围 之 内 。 
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3 原则 三 一 一 标准 优先 

在 信息 安全 体系 结构 设计 的 过 程 中 积极 采纳 现 有 的 技术 标准 和 管理 标准 ,以 求 该 设 
计 具 有 横向 、 纵 向 的 连通 性 ,节约 后 期 的 建设 成 本 ;对 于 国际 标准 和 国家 标准 的 采用 ,应 理 
解 相关 的 国际 动态 ,明确 有 关 的 国家 政策 ,力所能及 地 鼓励 自主 标准 的 开发 与 推广 。 在 标 
准 化 方面 ,总 的 原则 是 遵循 国家 标准 ,兼顾 国际 标准 。 在 国家 标准 不 同 于 国际 标准 的 情况 
下 ,要 遵循 国家 标准 ,在 国家 标准 要 求 低 于 国际 标准 的 情况 下 ,要 尽量 遵循 国际 标准 。 


4 原则 四 一 一 技术 成 熟 

在 信息 安全 体系 结构 设计 的 过 程 中 采用 成 熟 的 信息 安全 技术 与 产品 ,同时 关注 这 些 
技术 与 产品 的 发 展 态势 。 对 于 新 出 现 的 功能 复杂 的 技术 与 产品 ,除非 特别 需要 ,并 且 进 行 
过 充分 论证 , 方 可 采用 。 


5 原则 五 管理 跟 进 

结合 技术 产品 的 应 用 情况 和 人 员 素 质 情 况 , 制 定 必 要 的 管理 措施 ,包括 各 种 与 信息 安 
全 管理 相关 的 规章 制度 ,必要 的 培训 与 考核 制度 ,并 且 对 这 些 措施 的 具体 落实 情况 进行 定 
期 追踪 和 不 断 改进 。 


6 原则 六 一 一 综合 防护 

从 一 个 完整 的 安全 体系 结构 出 发 ,综合 考虑 信息 网 络 的 各 种 实体 和 各 个 环节 ,综合 
用 针对 不 同 层 次 的 不 同安 全 手段 ,关注 整体 安全 而 非 局 部 效应 。 由 于 设计 中 采用 的 各 种 
技术 与 产品 种 类 繁多 ,结构 复杂 ,如 果 采 用 单一 的 防护 措施 ,即使 每 一 项 安全 措施 可 以 起 
到 它 应 有 的 作用 ,综合 起 来 也 不 一 定 能 达到 应 有 的 效果 。 只 有 采用 多 种 安全 措施 ,按照 纵 
深 防 御 的 战略 ,分 层次 .有 重点 地 对 目标 加 以 防护 ,才能 达到 要 求 的 安全 目标 。 相 反 地 , 采 
取 简单 .零散 的 防护 措施 ,不 仅 有 可 能 造成 资源 浪费 ,更 重要 的 是 , 极 有 可 能 达 不 到 要 求 的 
安全 目标 。 另 外 ,我 们 不 仅 要 注重 防 外 ,也 要 注重 防 内 , 防 外 与 防 内 并 重 。 


2.4 安全 策略 的 制定 与 实施 


241 安全 策略 


安全 策略 是 用 一 般 的 术语 对 安全 需求 和 属性 进行 描述 ,不 涉及 具体 的 实现 过 程 。 安 

全 策略 涉及 的 因素 很 多 ,主要 包括 硬件 软件. 访问、 用 户 、 连 接 、 网 络 、 电 信 以 及 实施 过 程 

等 。 安 全 策略 的 作用 是 表现 管理 层 的 意志 指导 体系 结构 的 规划 与 设计 、 指 导 相 关 产 品 的 

选择 和 系统 开发 过 程 、 保 证 应 用 系统 安全 的 一 致 性 和 完整 性 、 避 免 资 源 浪费 ,以 及 尽 可 能 
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消减 安全 隐患 。 
242 制定 依据 


制定 安全 策略 首先 需要 综合 考虑 上 述 六 项 基本 设计 原则 ,但 也 需要 针对 具体 的 对 象 。 
这 些 对 象 可 以 是 一 个 设备 (例如 ,路 由 器 ,防火墙 ) ,可 以 是 一 个 网 络 区 域 ( 例 如 ,局 域 网 、 
Internet) ,也 可 以 是 某 种 安全 机 制 (例如 ,访问 控制 ,物理 安全 )。 例 如 ,可 以 针对 电子 邮件 
系统 的 使 用 制定 电子 邮件 安全 策略 ,也 可 以 针对 某 个 重要 机 房 的 访问 制定 机 房 物理 访问 
控制 安全 策略 等 。 

此 外 ,安全 策略 的 制定 必须 确保 其 可 实施 性 。 即 使 对 于 非 专业 人 员 , 看 到 了 安全 策 
略 , 也 能 够 明白 自己 需要 怎么 做 ,才能 够 不 违反 这 些 安全 策略 。 那 些 虽然 表述 得 很 清楚 ， 
外 行 看 来 也 很 容易 看 懂 , 但 是 没有 办 法 具体 执行 的 所 谓 安全 策略 ,并 不 具有 实际 的 作用 。 


243 安全 策略 分 类 
一 般 地 ,可 以 将 安全 策略 分 为 管理 性 安全 策略 和 技术 性 安全 策略 。 


1 管理 性 安全 策略 

管理 性 安全 策略 主要 涉及 内 部 人 员 安 全 策略 ,物理 和 环境 安全 策略 ,应 用 操作 中 的 输 
入 输出 介质 控制 策略 ,应 急 策略 ,硬件 和 系统 软件 维护 控制 策略 ,完整 性 控制 策略 ,归档 策 
略 ,安全 意识 和 培训 策略 ,事件 响应 策略 等 。 下 面 分 别 介绍 这 些 管理 性 安全 策略 需要 考虑 
的 要 素 。 

1) 内 部 人 员 安 全 策略 

内 部 人 员 安 全 策略 需要 考虑 以 下 内 容 : 

(1) 确定 所 有 相关 工作 职位 的 人 员 密 级 要 求 。 如 果 该 要 求 尚 不 明确 ,应 制定 相应 工 
作 日 程 。 

(2) 对 各 职位 上 的 工作 人 员 进 行 必要 的 背景 调查 。 如 果 调 查 结果 尚 不 明确 ,制定 相 
应 的 调查 日 程 。 若 在 调查 不 充分 的 情况 下 , 某 个 职员 获得 授权 进行 网 络 或 系统 操作 ,需要 
记录 有 关 情 况 并 考虑 必要 的 风险 应 对 措施 。 

(3) 采用 最 小 特权 策略 ,将 人 员 的 操作 权限 限制 在 最 小 可 能 的 权限 范围 内 。 

(4) 对 关键 操作 的 权限 进行 分 割 ,使 该 权限 分 散在 若干 不 同 操作 人 员 中 ,以 免 某 个 
(或 某 些 ) 人 员 获得 可 能 进行 欺诈 所 需 的 全 部 授权 和 所 有 信息 。 

(5) 确定 一 个 有 效 地 管理 过 程 , 对 用 户 的 口令 账号 进行 查询 .建立 .授权 和 撤销 。 

(6) 确定 必要 的 监督 和 审核 机 制 ,促使 有 关 人 员 对 其 各 自 的 行为 负责 。 

(7) 结合 具体 职位 的 安全 意识 和 安全 技能 需求 ,对 内 部 人 员 进 行 相关 培训 , 尽 可 能 减 
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少 误 操 作 。 对 于 与 外 界 交 往 或 通信 频繁 的 内 部 人 员 ,尤其 要 注意 提高 其 安全 意识 ,防止 他 
们 无 意识 地 泄密 。 

(8) 确定 雇佣 合同 的 终止 方式 (包括 友好 的 方式 和 非 友好 的 方式 ) 。 

2) 物理 和 环境 安全 策略 

物理 和 环境 安全 策略 需要 考虑 以 下 内 容 : 

(1) 访问 控制 措施 (例如 ,采用 门禁 系统 .生物 识别 装置 .红外 摄像 装置 等 ) 。 

(2) 结合 具体 的 物理 和 环境 安全 需求 ,制定 严格 的 .可 操作 的 外 来 人 员 访 问 记录 规 
章 ,并 指派 专人 定期 进行 审核 。 

(3) 防火 措施 。 

(4) 操作 环境 安全 措施 (例如 ,供电 系统 .空调 系统 等 的 安全 部 署 ) 。 

(5) 建筑 物 的 抗震 性 能 (与 地 震 等 灾害 有 关 ) ,承载 性 能 (与 雪灾 等 灾害 有 关 ) , 抗 毁 性 
能 (与 管道 爆炸 等 灾害 有 关 ) 。 

(6) 管道 防 泄露 措施 。 

(7) 数据 窃取 防范 措施 (例如 ,防止 偷窥 、 侦 听 和 电磁 泄露 等 ) 。 

(8) 对 于 移动 和 便携 设备 的 物理 安全 和 数据 安全 防范 措施 。 例 如 : 安全 存放 笔记 本 
计算 机 ,对 移动 和 便携 设备 中 的 数据 及 时 进行 备份 。 

3) 应 用 操作 中 的 输入 输出 介质 控制 策略 

应 用 操作 中 的 输入 输出 介质 控制 策略 需要 考虑 以 下 内 容 : 

(1) 获得 内 部 人 员 和 外 界 相关 人 员 ( 例 如 ,软件 送 货 商 ) 的 支持 ,必要 的 情况 下 可 以 通 
过 签订 合同 加 以 约束 。 

(2) 采用 适当 的 密级 标记 ( 显 式 标记 或 隐 式 标记 )。 如 果 是 采用 显 式 密级 标记 ,必须 
确定 与 之 相对 应 的 要 素 ( 例 如 ,日 志 / 目 录 标 识 , 受 控 访 问 ,特殊 存储 措施 ,发布 或 销毁 日 期 
等 ) 。 

(3) 确定 用 户 无 法 对 输入 输出 介质 进行 任何 非 授 权 的 操作 。 

(4) 对 于 达到 敏感 级 别 的 输入 输出 介质 的 接收 ,必须 进行 审计 追踪 。 

(5) 对 输出 介质 采取 访问 控制 措施 。 

(6) 对 以 传统 方式 传输 或 邮寄 的 介质 或 书面 材料 ,采取 访问 控制 措施 。 

(7) 针对 目录 管理 ,确定 审计 追踪 机 制 。 

(8) 对 于 存储 介质 的 物理 和 环境 ,确定 相应 的 保护 措施 。 

(9) 对 于 电子 存储 介质 的 信息 ,确定 其 擦 除 和 介质 重用 措施 (例如 , 写 覆 羡 或 消 磁 )。 

(10) 对 于 无 法 有 效 擦 除 并 重用 的 、 受 损 的 受 控 存储 介质 ,确定 相应 的 处 理 措施 。 

(11) 对 于 印刷 材料 ,确定 采用 安全 的 销毁 措施 。 
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4) 应 急 策略 

应 急 策略 需要 考虑 以 下 内 容 : 

(1) 部 署 有 效 的 .经 过 验证 (或 论证 ) 的 应 急 计划 ,以 便 在 灾难 发 生 的 情况 下 支持 关键 

(2) 确定 完善 的 备份 机 制 。 

(3) 为 所 有 的 网 络 和 信息 系统 制定 有 效 的 、 经 过 验证 (或 论证 ) 的 灾难 恢复 计划 。 

(4) 张贴 或 采用 其 他 公告 方式 ,发 布 正 式 的 、 书 面 的 应 急 操作 计划 ,以 便 提 高 该 计划 
的 易 用 性 。 

(5) 对 应 急 计 划 的 实施 状况 和 合理 性 进行 周期 性 地 检验 。 

(6) 对 所 有 相关 人 员 进 行 应 急 计划 相关 培训 。 

(7) 在 需要 获得 外 界 人 员 支 援 的 情况 下 ,确定 可 能 存在 的 安全 隐患 ,并 制定 相应 的 监 
督 和 防范 机 制 。 

5) 硬件 和 系统 软件 维护 控制 策略 

硬件 和 系统 软件 维护 控制 策略 需要 考虑 以 下 内 容 : 

(1) 与 外 连 网 络 (或 设备 ) 的 所 有 者 签订 硬件 和 系统 软件 维护 合同 。 

(2) 确定 需要 进行 硬件 和 软件 维护 控制 的 原因 。 如 果 是 由 与 其 相连 的 外 界 网 络 (或 
设备 ) 导 致 , 则 与 该 网 络 (或 设备 ) 的 所 有 者 联系 ,协商 具体 的 解决 办 法 。 

(3) 硬件 和 软件 的 维护 过 程 可 能 对 网 络 和 系统 安全 造成 影响 。 确 定 影响 的 程度 ,以 
及 减少 这 种 影响 的 具体 措施 ,例如 : 限制 硬件 和 软件 维护 人 员 的 身份 和 权限 ;在 应 急 状 况 
下 ,采取 特殊 的 硬件 和 软件 维护 过 程 ; 对 硬件 和 软件 的 授权 和 升级 进行 管理 ,合理 使 用 这 
些 管 理 权限 ,并 尽 可 能 地 降低 维护 成 本 ;确定 以 在 线 和 离线 方式 进行 的 硬件 和 软件 维护 过 
程 的 安全 (例如 ,为 维护 人 员 配 备 陪 同人 员 ,安全 地 处 理 离线 设备 等 ); 确 定 远程 维护 过 程 
中 的 设备 维护 和 控制 措施 。 

(4) 确定 系统 的 配置 管理 过 程 ,具体 包括 : 进行 版 本 控制 ,并 且 依据 需要 及 时 进行 版 
本 更 新 ;依据 网 络 和 系统 的 变化 情况 ,及 时 更 新 应 急 计 划 和 相关 文档 ;确保 测试 数据 的 实 
时 性 ;制定 和 及 时 采用 应 急 处 理 措施 。 

6) 完整 性 控制 策略 

完整 性 控制 策略 需要 考虑 以 下 内 容 : 

(1) 安装 病毒 检测 和 消除 软件 ,及 时 恢复 受 病毒 感染 的 文件 ,采用 自动 或 手动 方式 进 
行 病毒 扫描 ,确定 病毒 查 杀 步骤 和 病毒 报告 机 制 。 

(2) 采用 必要 的 完整 性 校 验 机 制 (例如 , 校 验 和 、Hash 值 等 )。 

(3) 采用 口令 校 验 机 制 。 

(4) 采用 监控 技术 ,对 网 络 和 系统 运行 期 间 的 日 志 进 行 实时 分 析 ,及 时 发 现 可 能 影响 
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或 破坏 可 用 性 的 潜在 问题 (例如 ,主动 攻击 .运行 异常 或 崩溃 等 ) 。 
(5) 在 应 用 层 上 ,采用 消息 认证 机 制 , 确 保 消 息 被 正确 的 接收 者 接收 ,以 及 消息 在 传 
递 过 程 中 没有 被 自 改 。 
7) 归档 策略 
归档 策略 需要 考虑 以 下 内 容 : 
(1) 软件 与 硬件 提供 商 提供 的 有 关 文档 。 
(2) 安全 策略 文档 。 
(3) 测试 文档 。 
(4) 标准 的 操作 说 明文 档 。 
(5) 应 急 处 理 操作 文档 。 
(6) 应 急 计划 文档 。 
(7) 灾难 恢复 操作 文档 。 
(8) 风险 评估 文档 。 
(9) 备份 操作 文档 。 
(10) 与 外 连 网 络 (或 设备 ) 所 有 者 签订 的 硬件 和 系统 软件 维护 控制 合同 文档 。 
(11) 对 上 述 文档 的 授权 处 理 方式 。 
8) 安全 意识 和 培训 策略 
安全 意识 和 培训 策略 需要 考虑 以 下 内 容 : 
(1) 确定 进行 安全 意识 培训 的 材料 。 
(2) 针对 不 同 的 用 户 ,确定 周期 性 的 培训 计划 和 实施 方式 。 
(3) 确定 针对 培训 结果 的 考核 措施 。 
9) 事件 响应 策略 
事件 响应 策略 需要 考虑 以 下 内 容 : 
(1) 确定 事件 响应 有 关 信 息 ( 例 如 ,软件 补丁 、 系 统 脆 弱 性 ) 的 接收 者 和 响应 者 。 
(2) 确定 采取 的 防范 措施 ,包括 : 入 侵 检 测 工具 、 自 动 化 的 审计 日 志 , 渗 透 测试 等 。 
(3) 确定 在 必要 的 情况 下 需要 求助 的 外 部 资源 (例如 , 某 个 专业 机 构 ), 以 及 发 布 求助 
信息 的 过 程 。 
2 技术 性 安全 策略 
技术 性 安全 策略 主要 涉及 标识 和 认证 策略 .逻辑 访问 控制 (授权 /访问 控制 ) 策 略 、 公 
共 访 问 控制 策略 .审计 追踪 策略 等 。 下 面 分 别 介绍 这 些 技 术 性 安全 策略 需要 考虑 的 要 素 。 
1) 标识 和 认证 策略 
标识 和 认证 策略 需要 考虑 以 下 内 容 : 
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(1) 采用 唯一 标识 符 (ID) 进 行 标识 。 

(2) 标识 应 该 与 用 户 的 行为 相关 ,并 且 具 有 明确 的 有 效 期 。 

(3) 对 用 户 ID 进行 及 时 更 新 和 定期 维护 。 

(4) 确定 用 户 认 证 机 制 (口令 . 令 牌 或 生物 认证 机 制 ) 。 

(5) 如 果 是 采用 口令 系统 , 则 应 该 提供 以 下 信息 : 可 用 的 字符 集 .口令 长 度 的 最 大 值 
和 最 小 值 .口令 有 效 期 和 更 新 方法 、 针 对 口令 丢失 的 相应 处 理 办 法 、 针 对 口令 算 改 的 相应 
处 理 办 法 。 

(6) 进行 用 户 培训 。 

(7) 确定 所 需 采 用 的 生物 识别 技术 及 其 实现 方式 ,具体 包括 : 是 否 需要 特殊 硬件 读 
取 设 备 ; 是 否 要 求 用 户 使 用 一 个 特定 的 个 人 标识 号 (PIN) ;PIN 的 确定 方法 (用 户 选 择 或 
系统 管理 员 指 定 ) ;是 否 需要 采用 口令 产生 器 或 一 次 性 口令 ; 若 采用 一 次 性 口令 ,是否 需 要 
采用 应 答 机 制 。 

(8) 确定 访问 控制 机 制 的 实现 位 置 (网 络 层 ,操作 系统 层 或 应 用 层 )。 

(9) 确定 访问 控制 机 制 对 可 审计 性 和 审计 追踪 机 制 的 支持 方式 (如 口令 与 用 户 标识 
符 相 关 ) 。 

(10) 确定 用 户 识别 机 制 所 需 的 自 保护 技术 (例如 ,对 传输 和 存储 的 口令 进行 加 密 , 自 
动 生成 口令 ,依据 禁用 口令 列表 对 口令 的 有 效 性 进行 检验 ) 。 

(11) 确定 允许 来 自给 定 用 户 标识 符 或 访问 主体 (终端 或 端口 ) 的 无 效 访问 最 大 次 数 ， 
并 确定 相应 的 处 理 方式 。 

(12) 更 改 系 统 提 供 的 默认 口令 ,并 确定 针对 这 种 更 改 的 验证 措施 。 

(13) 确定 针对 带 有 内 置 口令 的 脚本 的 访问 限制 措施 (例如 ,禁止 使 用 或 仅 在 批 处 理 
的 情况 下 允许 使 用 ) 。 

(14) 确定 所 有 无 须 遵 从 用 户 识别 要 求 的 安全 策略 . 单 点 登录 技术 有 关 信 息 ( 例 如 , 主 
机 -主机 标识 符 ,识别 服务 器 标识 符 , 用 户 -主机 标识 符 ,组 标识 符 )、 其 他 弥补 性 的 控制 
措施 。 

(15) 若 采用 数字 签名 技术 ,该 技术 必须 遵循 有 关 的 权威 性 技术 标准 。 有 具体 需要 考虑 
的 内 容 是 : 确定 所 采用 的 数字 签名 标准 (包括 依据 要 求 提供 使 用 期 限 、 授 权 方 身份 信息 ); 
确定 数字 签名 或 其 他 可 供 使 用 的 安全 控制 方法 的 实现 方式 ;确定 密 钥 管 理 措施 。 

2) 逻辑 访问 控制 策略 

逻辑 访问 控制 又 称 授权 /访问 控制 ,其 策略 需要 考虑 以 下 内 容 : 

(1) 针对 每 个 用 户 或 每 类 用 户 , 明 确 正 式 的 授权 策略 ,指明 该 授权 是 否 遵循 最 小 特权 
策略 。 
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(2) 为 防止 用 户 获得 进行 欺诈 活动 所 需 的 全 部 授权 和 所 有 信息 ,逻辑 访问 控制 策略 
必须 对 用 户 的 职责 进行 分 割 。 

(3) 采用 访问 控制 列表 ,并 确定 是 否 需 要 以 手工 方式 维护 访问 控制 列表 。 

(4) 确定 安全 功能 软件 使 用 者 的 授权 权限 , 即 这 些 使 用 者 是 否 能 够 限定 其 他 用 户 ( 包 
括 一 般 用 户 、 系 统管 理 员 或 操作 员 等 ) 对 应 用 程序 ,数据 或 文件 的 访问 权限 。 

(5) 确定 应 用 层 用 户 对 超越 其 使 用 范围 的 操作 系统 、 其 他 应 用 或 系统 资源 的 访问 
权限 。 

(6) 及 时 更 新 和 定期 维护 访问 控制 列表 。 

(7) 依据 具体 应 用 要 求 ,确定 是 否 需 要 采取 强制 访问 策略 ;对 于 所 有 相关 证 明 的 评价 
信息 进行 归档 。 

(8) 采取 必要 的 控制 措施 ,检测 授权 用 户 和 非 授 权 用 户 的 越权 使 用 行为 。 

(9) 确定 用 户 休眠 时 间 的 上 限 , 以 及 系统 在 此 情况 下 的 应 对 措施 (如 要 求 重 新 输入 口 
令 .显示 黑屏 等 ) 。 

(10) 严格 限制 用 户 在 正常 工作 时 间 之 外 的 系统 访问 。 

(11) 对 于 敏感 信息 的 非 授权 访问 ,确定 是 否 需要 采用 密码 机 制 进行 限制 (不 包括 以 
认证 为 主要 目的 而 采用 的 密码 机 制 )。 在 需要 采用 密码 机 制 的 情况 下 ,必须 提供 以 下 相关 
信息 : 采用 的 密码 方法 (包括 有 关 密 码 产 品 和 标准 ) ,采用 的 密 钥 管理 方法 。 

(12) 在 网 络 边 界 或 系统 上 应 用 必要 的 安全 措施 ,包括 硬件 和 软件 控制 措施 ,防止 非 
授权 系统 的 渗入 和 其 他 网 络 的 威胁 与 脆弱 性 。 

(13) 明确 所 用 安全 网 关 或 防火 墙 的 类 型 .功能 和 配置 要 求 。 

(14) 对 于 针对 通信 端口 的 特殊 访问 ,要 求 提供 该 端口 保护 设备 的 相关 信息 ,包括 端 
口 保护 设备 的 配置 信息 ,必需 的 口令 或 令 牌 信息 等 。 

(15) 在 对 访问 特定 信息 类 型 或 文件 进行 控制 的 情况 下 ,确定 是 否 需 要 采用 内 部 安全 
标签 ,以 及 该 标签 是 否 要 求 采用 某 种 特定 的 保护 措施 或 处 理 规则 。 

(16) 明确 是 否 需要 采用 基于 主机 的 认证 机 制 。 

3) 公共 访问 控制 策略 

公共 访问 控制 策略 需要 考虑 以 下 内 容 : 

(1) 采用 某 种 形式 的 标识 和 认证 机 制 。 

(2) 对 用 户 的 读 、 写 ,修改 或 删除 等 操作 进行 授权 控制 。 

(3) 防止 公共 用 户 修改 系统 信息 。 

(4) 采用 数字 签名 技术 。 

(5) 采用 CD-ROM 方式 发 布 在 线 存 储 的 信息 。 

(6) 对 公共 访问 信息 进行 备份 。 


(7) 禁止 对 实时 更 新 的 数据 库 进 行 公共 访问 。 

(8) 对 向 公众 发 布 的 程序 和 信息 进行 验证 ,以 防 病毒 利用 这 些 程序 和 信息 进行 传播 。 

(9) 确保 审计 追踪 信息 和 用 户 信息 的 机 密 性 。 

(10) 确保 系统 和 数据 的 可 用 性 。 

(11) 遵从 相关 法 律 法 规 。 

4) 审计 追踪 策略 

审计 追踪 策略 需要 考虑 以 下 内 容 ， 

(1) 使 用 在 线 审计 追踪 工具 ,识别 除 入 侵 之 外 的 类 似 问 题 。 

(2) 使 用 采用 审计 追踪 工具 ,判断 这 类 事件 的 发 生 时 间 、 来 源 和 原因 所 需要 的 足够 的 
信息 ,事件 记录 的 具体 内 容 通 常 包括 : 事件 类 型 .事件 发 生 时 间 , 与 该 事件 相关 的 用 户 
ID ,触发 该 事件 的 程序 或 命令 。 

(3) 对 于 在 线 访 问 审 计 日 志 的 请 求 和 行为 进行 严格 控制 。 

(4) 确保 访问 控制 功能 管理 员 和 审计 追踪 管理 员 具 有 各 自 不 同 的 职责 。 

(5) 确保 审计 追踪 信息 的 机 密 性 。 

(6) 确定 审计 追踪 的 执行 指南 ,对 审计 追踪 的 执行 情况 进行 周期 性 检查 。 

(7) 确定 审计 追踪 信息 的 查询 方式 。 

(8) 支持 正确 的 系统 层面 或 应 用 层面 的 管理 员 依据 确定 的 系统 故障 或 应 用 故障 ,或 
者 依据 确定 的 违反 相关 要 求 的 事件 ,对 审计 追踪 策略 进行 检查 。 

(9) 以 实时 或 接近 实时 的 方式 应 用 审计 分 析 工 具 ( 如 基于 审计 规约 、 攻 击 签名 和 其 他 
多 种 技术 的 审计 分 析 工 具 ) 。 


25 ”小 结 


本 章 重点 介绍 了 四 个 内 容 : 一 是 用 实例 分 析 了 网 络 和 信息 系统 的 总 体 结构 与 安全 之 

间 的 关系 ,并 给 出 了 信息 系统 的 定义 ;二 是 从 物理 安全 、 系 统 安全 、 网 络 安 全 、 数 据 安全 应 

用 安全 与 安全 管理 六 个 层面 比较 详尽 地 分 析 了 信息 系统 的 安全 需求 ;三 是 介绍 了 信息 安 

全 体系 结构 的 设计 目标 、 指 导 思 想 与 设计 原则 ;四 是 介绍 了 安全 策略 的 作用 、 制 定 依据 和 
分 类 。 

信息 系统 是 由 计算 机 及 其 相关 的 和 配套 的 设备 .设施 ( 含 网 络 ) 构 成 的 ,按照 一 定 的 应 

用 目标 和 规则 对 信息 进行 采集 加工, 存储、 传输 ,检索 等 处 理 的 人 机 系统 ,也 称 计算 机 信 

息 系 统 。 保 障 信息 系统 安全 的 第 一 步 就 是 对 信息 系统 的 体系 结构 进行 分 析 , 充 分 了 解 其 

架构 和 规模 ;其 次 ,就 是 进行 信息 安全 需求 分 析 , 本 书 从 六 个 层面 介绍 了 信息 安全 需求 所 
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要 分 析 的 方方面面 ;再 次 ,就 是 要 确定 信息 安全 策略 和 保障 重点 。 本 章 内 容 是 进行 信息 系 
统 安全 顶层 设计 的 基础 。 


习题 


1. 简 述 网 络 体系 结构 与 安全 之 间 的 关系 ,并 叙述 信息 系统 的 基本 内 涵 。 
2. 画图 说 明 物 理 安全 、 系 统 安全 、 网 络 安全 、 数 据 安全 、 应 用 安全 与 安全 管理 六 个 层 
面 之 间 的 逻辑 关系 。 
3. 简 述 物理 安全 ,系统 安全 、 网 络 安全 ,数据 安全 ,应 用 安全 与 安全 管理 六 个 层面 的 
主要 安全 需求 ,并 说 明 在 一 个 信息 系统 中 如 何 来 平衡 这 些 安全 需求 。 
.比较 系统 安全 需求 与 网 络 安全 需求 之 间 的 异同 点 。 
. 谈 谈 自己 对 信息 安全 体系 结构 的 设计 原则 的 理解 。 
. 什么 是 安全 策略 ”阐述 安全 策略 的 分 类 及 其 具体 内 容 。 
. 论述 安全 需求 与 安全 策略 之 间 的 关系 。 
.你 认为 应 该 从 哪 一 个 视角 进行 信息 安全 需求 分 析 ? 


Om a 
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3 音 
二 ”信息 安全 技术 支 反 


信息 安全 体系 结构 的 设计 和 构建 ,需要 多 种 信息 安全 技术 的 支撑 。 这 些 技术 主要 包 
括 密码 服务 、 密 钥 管 理 ,认证 、 授 权 、 容 灾 备 份 与 故障 恢复 .恶意 代码 防范 ,人 侵 检测 、 安 全 
接口 与 中 间 件 .无线 网 络 安全 等 。 本 章 介绍 这 些 技术 的 基本 原理 ,主要 作用 、 通 用 要 求 和 
体系 结构 。 本 章 的 内 容 与 第 4 章 的 内 容 密切 相关 ,相关 内 容 之 间 可 以 相互 补充 。 

相对 而 言 , 某 些 技术 (例如 ,密码 服务 . 密 钥 管理 恶意 代码 防范 ,入 侵 检测 ) 较 为 成 熟 
并 已 自 成 体系 ,市 场 上 可 供 选择 的 产品 也 较 多 ,可 以 结合 应 用 需求 独自 加 以 应 用 ; 另 一 些 
技术 (例如 ,认证 、 授 权 、 容 灾 备 份 与 故障 恢复 、 安 全 接口 与 中 间 件 ,无 线 网 络 安全 ) 则 在 实 
施 过 程 中 必须 结合 考虑 其 他 技术 的 应 用 情况 进行 适当 调整 ,以 免 由 于 采用 了 这 些 技术 , 占 
用 了 过 多 的 系统 资源 或 网 络 资源 ,或 者 增加 了 信息 系统 建设 成 本 ,给 网 络 与 信息 系统 的 正 
常 、 有 效 运行 带 来 不 必要 的 负面 影响 。 


51 ”密码 服务 技术 


311 作用 


密码 服务 技术 为 密码 的 有 效应 用 提供 技术 支持 。 一 般 地 ,密码 服务 系统 由 密码 芯片 、 
密码 模块 .密码 机 或 软件 ,以 及 密码 服务 接口 构成 。 例 如 ,为 密 钥 管理 基础 设施 提供 加 密 
服务 的 加 密 服务 器 、 应 用 代理 服务 器 的 加 密 服务 器 及 用 户 使 用 的 智能 卡 。 密 码 服 务 系统 
本 身 是 密码 、 密 钥 和 证 书 的 重要 载体 ,具备 完善 的 安全 防护 措施 和 大 容量 的 存储 空间 ; 密 
码 设备 的 管理 也 是 非常 重要 的 ,必须 符合 上 层 安全 管理 接口 的 规范 要 求 ,接受 安全 管理 系 
统统 一 的 监控 。 密 码 芯片 及 部 分 安全 模块 ,由 于 嵌入 到 各 种 密码 应 用 设备 里 ,因此 安全 管 
理 接口 由 上 层 系统 提供 。 软 件 令 牌 由 于 作为 开放 的 公众 应 用 ,不 具备 安全 管理 的 接口 。 

通常 ,密码 服务 系统 以 独立 的 形式 ,提供 各 种 安全 服务 ,并 具备 完善 的 安全 机 制 以 及 
规范 的 编程 接口 。 


1 安全 要 求 

一 般 地 ,密码 服务 器 及 安全 模块 的 设计 应 该 满足 以 下 的 安全 要 求 ; 
(1) 采用 可 信 计 算 机 。 

(2) 具备 设备 安全 和 敏感 信息 保护 机 制 。 

(3) 关键 设备 的 真实 性 鉴别 。 

(4) 具备 完善 的 密 钥 管理 机 制 。 

(5) 符合 工业 标准 。 

(6) 提供 日 志 审 计 及 统计 服务 。 

(7) 支持 监测 响应 系统 的 统一 监测 。 

(8) 支持 安全 管理 系统 的 统一 管理 。 


2 功能 要 求 
为 保证 系统 安全 和 信息 的 机 密 性 完整 性 ,真实 性 和 不 可 否认 性 ,密码 服务 系统 的 主 


要 功能 要 求 如 下 : 


(1) 密 钥 管 理 服务 。 

(2) 数字 证 书 管理 服务 。 

(3) 数字 证 书 运 算 : 提供 数字 证 书签 发 和 验证 等 基本 的 证 书 运 算 服 务 功能 。 

(4) 数据 加 解密 运算 : 提供 对 数据 的 加 密 和 解密 等 运算 功能 。 

(5) 数字 签名 运算 : 提供 对 数据 的 签名 和 签名 验证 等 运算 功能 。 

(6) 数字 信封 : 提供 对 数据 的 数字 信封 封装 和 解 封装 等 运算 功能 。 

(7) 消息 摘要 和 完整 性 验证 : 提供 对 消息 进行 摘要 运算 功能 ,并 具有 验证 消息 完整 


性 功能 。 其 核心 功能 应 该 是 提供 加 解密 服务 、 密 钥 管理 和 证 书 管理 ,而 其 中 的 PKI、KMI 
等 的 密码 服务 器 应 能 支持 国家 密码 主管 部 门 指定 的 密码 算法 。 


313 组 成 
通常 情况 下 ,密码 服务 系统 由 密码 芯片 .密码 模块 .客户 端 密码 服务 设备 .服务 器 端 密 


码 服务 设备 等 组 成 。 


1 密码 芯片 
密码 芯片 包括 ASIC、FPGA 等 载体 作为 密码 运算 单元 ,这 类 单元 通常 支持 单一 或 组 


合 的 密码 运算 及 密 钥 输入 ,具有 专 有 的 通信 接口 协议 或 口令 等 安全 保护 措施 ,并 具备 基本 
的 自身 防护 机 制 ,如 不 可 被 分 析 、 密 钥 不 可 被 读 出 。 
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3.1 密码 服务 技术 mw 


密码 芯片 的 功能 要 求 必须 符合 相应 的 电器 特性 ,以 及 硬件 接口 标准 ,包括 数据 总 线 、 
异步 时 序 、 同 步 时 序 .寄存 器 操作 等 接口 标准 。 通 过 RAM 传输 模式 .FIFO 传输 模式 提供 
数据 的 交互 。 


2 密码 模块 

密码 模块 专 指 具备 完整 安全 功能 及 服务 的 加 密 卡 ,高度 集成 的 安全 芯片 等 ,通常 集成 
了 密码 运算 单元 .噪声 源 、 密 码 协议 、 密 钥 管理 等 功能 ,能 够 提供 一 种 或 多 种 安全 中 间 件 下 
层 密码 服务 接口 接 入 。 这 类 设备 通常 用 于 VPN 、 链 路 密码 机 等 各 种 密码 服务 设备 ,也 可 
以 直接 作为 客户 端 密码 服务 设备 。 

这 类 设备 通常 要 求 具有 完善 的 自身 防护 机 制 ,包括 管理 机 制 及 销毁 措施 ,并 符合 密 钥 
管理 、 安 全 管理 的 要 求 。 


3 客户 端 密码 服务 设备 

这 类 设备 的 作用 是 提供 终端 密码 服务 。 它 们 具有 便携 式 、 功 能 齐全 成 本 低 等 特点 ， 
便于 大 规模 使 用 以 及 移动 办 公 。 从 其 组 成 和 功能 上 来 看 ,它们 通常 具备 通用 的 密码 运算 
单元 、 密 钥 管理 .用户 证 书 管理 安全 管理 等 部 件 ,能 够 支持 应 用 系统 客户 端的 各 项 安全 
应 用 。 


4 服务 器 端 密码 服务 设备 

这 类 设备 的 作用 是 为 密 钥 管理 基础 设施 (KMD) ,公开 密 钥 基础 设施 (PKI) .安全 管理 
设备 ,安全 防护 设备 (例如 ,应 用 网 关 、 接 入 认证 设备 ,应 用 服务 器 ) 等 ,提供 性 能 稳定 、 功 能 
强大 的 安全 服务 设备 。 它 们 具备 完善 的 自身 防护 、 密 钥 管理 .证 书 管理 以 及 安全 管理 机 
制 。 这 类 设备 可 以 提供 多 种 密码 服务 系统 接口 ,能 够 作为 多 个 安全 模块 接 入 安全 中 间 件 ， 
通常 以 SOCKET 形式 提供 安全 服务 ,与 网 络 逻辑 隔离 。 


314 密码 的 使 用 


密码 服务 系统 所 使 用 的 安全 模块 或 密码 设备 , 均 应 严格 按照 国家 相关 主管 部 门 的 有 
关 规定 ,采用 经 国家 相关 部 门 批准 的 核 密 . 普 密 或 商 密 产 品 。 

在 密码 使 用 方面 ,各 种 密码 服务 系统 提供 不 同 的 算法 和 协议 支持 ,策略 库 根 据 国家 密 
码 主管 部 门 要 求 来 设置 ,用 户 可 以 在 策略 库 的 规定 范围 内 ,灵活 地 选择 并 配置 合适 的 密码 
算法 及 其 协议 。 对 关键 的 密码 服务 系统 ,必须 采用 统一 的 安全 管理 策略 。 

一 般 地 ,一 个 实际 的 应 用 系统 会 涉及 以 下 几 个 方面 的 密码 应 用 : 

(1) 数字 证 书 运算 : 提供 对 数字 证 书 的 产生 、 签 发 和 验证 运算 。 

(2) 密 钥 加 密 运 算 : 提供 密 钥 的 安全 传输 和 存储 的 加 解密 运算 。 

(3) 数据 传输 : 提供 数据 安全 传输 的 加 密 和 解密 运算 。 


(4) 数据 存储 : 提供 数据 安全 存储 的 加 密 和 解密 运算 。 

(5) 数字 签名 : 提供 对 数据 的 签名 和 签名 验证 等 运算 。 

(6) 消息 摘要 与 验证 : 提供 对 消息 进行 摘要 运算 及 完整 性 验证 运算 。 
(7) 数字 信封 : 提供 对 数据 的 数字 信封 封装 和 解 封装 等 运算 。 


315 密 钥 的 配 用 与 管理 


密 钥 的 使 用 与 管理 涉及 公 钥 密码 体制 的 公 钥 、 私 钥 ,以 及 对 称 密码 体制 的 秘密 密 钥 。 
所 有 密 钥 都 要 遵循 严格 的 配 用 原则 ,包括 最 小 特权 原则 ,特权 分 散 原 则 ,最 小 设备 原则 ,不 
影响 系统 正常 工作 的 原则 。 密 钥 管理 涉及 密 钥 生命 周期 的 全 过 程 。 对 不 同 的 密 钥 类 型 采 
用 不 同 的 管理 办 法 。 


316 密码 服务 系统 接口 


密码 服务 系统 接口 (CPI) 为 密码 服务 相关 的 应 用 开发 ,提供 标准 化 的 安全 接口 平台 ， 
根据 不 同 密码 载体 ,其 提供 形式 多 种 多 样 。CPI 属于 安全 接口 体系 的 底层 。CPI 有 多 种 
类 型 (参见 3. 8 节 ) ,但 是 每 一 种 都 包含 了 几 个 共同 的 部 分 , 即 安全 管理 接口 、. 密 钥 管理 接 
口 等 ,用 以 提供 对 该 设备 的 管理 服务 。 安 全 管理 服务 将 由 安全 管理 模块 统一 提供 , 密 钥 管 
理 服务 由 密 钥 管理 模块 提供 。 

对 于 密码 服务 系统 ,所 提供 的 接口 必须 符合 上 层 安 全 中 间 件 的 接口 规范 , 即 CPI 的 
规范 要 求 , 同 时 支持 动态 加 载 。 安 全 中 间 件 要 求 密码 服务 系统 接 入 前 必须 通过 相关 功能 
测试 ,同时 要 求 通过 国家 相关 的 检验 ,然后 才 可 以 对 其 提供 的 CPI 进行 签名 。 安 全 中 间 
件 加 载 设备 前 要 验证 其 签名 ,并 检验 其 完整 性 ,确保 其 合法 且 没 有 被 自 改 过 。 

对 于 服务 器 密码 机 ,根据 类 型 不 同 ,要 求 支 持 实时 ,多 任务 、 面 向 连接 和 无 连接 等 各 种 
形式 的 高 端 应 用 ,同时 必须 提供 符合 标准 的 安全 管理 及 监控 接口 。 

对 于 专用 加 密 模块 和 芯片 , 则 主要 以 各 个 厂商 提供 的 产品 接口 规范 为 依据 ,直接 提供 
给 密码 应 用 设备 的 设计 生产 厂商 。 由 于 与 硬件 时 序 直 接 相关 ,所 采用 的 标准 也 可 能 各 不 
相同 ,同时 各 自 还 具有 自身 的 特点 ,不 便于 规范 。 但 是 ,可 以 支持 符合 国际 标准 规范 的 安 
全 模块 接口 ,如 ISO 7816 等 。 

密码 服务 系统 提供 的 CPI 的 主要 任务 是 封装 硬件 接口 驱动 ,包括 各 种 操作 系统 平 
台 、 硬 件 平台 的 驱动 ,必须 具备 良好 的 性 能 和 兼容 性 。 同 时 提供 基本 密码 函数 、 密 钥 管理 
接口 调用 ,安全 协议 及 模型 则 交 由 上 层 中 间 件 进行 封装 。 这 其 中 包括 RSA、DSA、ECC 公 
钥 密码 函数 接口 及 DES.3DES 及 HASH 函数 ,国家 自主 知识 产权 的 密码 函数 接口 以 及 
基本 的 管理 接口 等 。 

密码 服务 系统 接口 主要 以 标准 C/C ++ /C# 提 供 。 
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m3.2 密 角 管理 技术 mm 


33 密 钥 管 理 技术 


321 作用 


密 钥 管理 技术 的 作用 是 为 应 用 系统 提供 集中 和 统一 的 密 钥 支持 和 密 钥 管理 服务 。 这 
类 服务 通常 由 密 钥 管理 基础 设施 (KMI) 来 提供 。 主 要 包括 用 户 注册 、 密 钥 下 载 、 密 钥 管 
理 、 密 钥 协 商 、 系 统 日 志和 审计 等 功能 。 


1 用 户 注册 功能 
通过 离线 方式 ,由 核心 区 注册 终端 录入 密码 机 实体 相关 信息 、 加 密 设备 的 用 户 相 关 
信息 。 


2 密 钥 下 载 功能 
依据 用 户 要 求 , 采 用 Web 方式 下 载 证 书 。 


3 密 钥 管理 功能 

为 单个 加 密 设备 或 一 组 加 密 设备 进行 密 钥 生 命 周 期 中 的 所 有 操作 。 具 体内 容 包 括 以 
下 几 点 : 

(1) 密 钥 生成 与 装载 : 通过 对 密 钥 机 和 用 户 信息 的 变换 生成 密 钥 ,并 通过 一 个 安全 
的 密 钥 注 入 方式 为 密码 机 装载 这 些 密 钥 。 

(2) 密 钥 分 发 : 以 安全 的 方式 将 密 钥 从 产生 器 分 发 到 用 户 设备 ,可 以 采用 公 钥 技术 
在 产生 器 和 用 户 设备 之 间 传 送 对 称 密 钥 ,或 者 通过 允许 用 户 设备 产生 一 个 授权 的 会 话 密 
钥 的 方式 在 密 钥 产生 器 与 用 户 设备 之 间 传 送 对 称 密 钥 。 

(3) 密 钥 存储 : 以 加 密 形式 存储 密 钥 ,严格 控制 存储 期 ,采取 必要 的 安全 机 制 限制 对 
这 些 密 钥 的 访问 。 

(4) 密 钥 销毁 : 安全 地 销毁 不 青 使 用 的 密 钥 。 

(5) 密 钥 更 新 : 先 销毁 待 更 新 的 密 钥 ,再 通过 密 钥 的 生成 .装载 .分 发 .存储 等 步骤 产 
生 一 个 新 的 密 钥 。 

4 密 钥 协商 功能 

在 各 级 安全 管理 中 心 之 间 ,建立 信任 关系 ,实现 相同 或 不 同 密 钥 管理 域 密码 终端 之 间 
的 密 钥 协 商 ,满足 跨 管理 域 的 加 密 通信 。 

5 系统 日 志和 审计 功能 

采用 附加 机 制 对 密 钥 的 整个 生命 周期 进行 跟踪 ,以 定时 或 实时 的 方式 对 管理 对 象 的 
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密 钥 、 重 要 操作 ,安全 事件 等 信息 进行 审计 。KMI 的 审计 终端 将 记录 获 授权 人 员 对 KMI 
的 访问 时 间 .被 访问 密 钥 属 主 信息 .要 求 进行 的 操作 记录 等 信息 ,保存 相应 的 签名 记录 和 
证 据 。 系 统 还 提供 记录 操作 员 的 所 有 操作 活动 及 与 KMI 的 交互 活动 的 时 间 、 事 件 等 
信息 。 

322 体系 结构 

KMI 的 体系 结构 通常 采用 树 状 结构 ,各 结 点 均 设置 密 钥 管理 系统 , 相 邻 层 的 结 点 之 
间 采 用 加 密 通 信 的 方式 进行 密 钥 传输 和 管理 信息 传输 。 

密 钥 管理 系统 由 密 钥 管理 服务 器 、 管 理 终端 ,数据库 服 务 器 、 密 码 服务 系统 等 组 成 。 


其 中 , 密 钥 管理 服务 器 为 密 钥 的 整个 生命 周期 提供 完善 的 管理 服务 。 密 钥 管 理 系统 的 组 
成 如 图 3-2-1 所 示 。 


= 证 书 
认证 系统 
图 3-2-1 密 钢管 理 系 统 组 成 


从 迎 辑 上 来 看 , 密 钥 管理 系统 又 由 密 钥 生成 子 系统 、 密 钥 库 子 系统 、 密 钥 恢复 子 系统 、 
密 钥 管理 子 系统 和 管理 终端 组 成 ,其 逻辑 结构 如 图 3-2-2 所 示 。 

(1) 密 钥 生成 子 系统 : 与 密码 服务 系统 相连 ,负责 密 钥 对 的 生成 ,由 随机 数 发 生 器 产 
生 真 随机 数 作为 种 子 , 在 服务 器 上 运行 特定 的 算法 ,生成 密 钥 对 ,验证 密 钥 对 的 安全 性 , 若 
是 安全 的 , 则 确定 为 所 需 的 安全 密 钥 对 。 

(2) 密 钥 库 子 系统 : 用 于 存放 密 钥 ,包括 预 生 成 .已 使 用 和 归档 库 三 个 库 。 预 生成 库 
存储 了 还 没有 生成 用 户 证 书 的 用 户 密 钥 对 ;已 使 用 库存 储 了 正在 使 用 证 书 对 应 的 密 钥 对 ; 
当 用 户 进行 更 新 、 注 销 操作 后 ,其 密 钥 对 则 转 入 归档 库 。 

(3) 密 钥 恢复 子 系统 : 为 用 户 提供 密 钥 恢 复 功 能 。 用 户 发 生 加 密 密 钥 损 坏 、 遗 漏 等 
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密 钥 生成 子 系统 密 钥 恢复 子 系统 


下 


[| 密 铀 库 子 系统 
1 


密 铀 管理 子 系统 | [一 一 | 。 管理 终 江 
KM ADMIN AUDIT 
1 1 1 
密码 服务 系统 认证 系统 | 


图 3-2-2 ” 密 钥 管理 系统 逻辑 结构 图 


事件 无 法 访问 原 有 加 密 数据 的 时 候 , 密 钥 恢 复 子 系统 将 用 户 原 有 密 钥 对 进行 恢复 处 理 , 以 
保证 用 户 加 密 后 的 数据 可 以 重新 被 访问 。 

(4) 密 钥 管理 子 系 统 : 负责 对 整个 密 钥 系统 提供 管理 配置。 

(5) 管理 终端 : 主要 由 KM ADMIN 终端 和 AUDIT 审计 终端 两 个 子 模块 组 成 。KM 
ADMIN 终端 通过 C/S( 客 户 机 /服务 器 ) 结 构 的 方式 访问 密 钥 管理 服务 器 ,提供 对 密 钥 管 
理 系统 具体 的 操作 (包括 启动 密 钥 管理 服务 .配置 密 钥 管理 策略 等 );AUDIT 审计 终端 提 
供 记录 ,跟踪 密 钥 管 理 服务 的 各 项 操作 记录 和 相关 的 系统 操作 。 

在 具体 的 技术 实现 上 ,可 以 采用 如 图 3-2-3 所 示 的 体系 结构 。 

密 钥 管理 服务 器 1 密 钥 管理 服务 器 2 
| 窗 钢 管理 问 用 | 窗 负 管理 应 用 
密 钥 管理 引擎 
通信 协议 接口 


密 钥 管理 应 用 
密 钥 管理 引擎 
通信 协议 接口 


密 钥 管理 协议 


si aad 
通信 协议 接口 通信 协议 接口 
密 钥 管 理 引擎 密 钥 管 理 引擎 
密 钥 管理 应 用 密 钥 管理 应 用 
加 密 设备 1 加 密 设备 2 


3-2-3 KMI 体系 结构 


技术 实现 上 的 标准 化 必须 符合 用 户 的 使 用 要 求 , 具 体 包 括 : 总 体 结构 采用 分 层 按 域 
管理 的 方式 ,核心 操作 区 与 对 外 服务 区 相隔 离 ; 用 户 界 面 稳定 ;管理 信息 库 结 构 C(SMI) 设 
计 具 有 检索 方便 .易于 扩充 的 管理 信息 库 结 构 ;对 所 有 管理 对 象 属性 进行 抽象 并 进行 形式 
化 描述 ,使 管理 信息 库 (MIB) 的 设计 具有 普遍 适应 性 ;参照 SNMP 协议 并 结合 密 钥 管理 
的 特点 ,设计 标准 的 密 钥 管理 协议 ;基于 加 密 设备 标识 、 密 钥 标 识 设计 安全 协议 。 
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331 作用 


当前 最 流行 的 认证 技术 是 PKI 技术 。 在 某 些 情况 下 ,也 可 以 依据 具体 应 用 环境 的 安 
全 需求 ,采用 口令 认证 或 基于 生物 特征 识别 的 认证 技术 。 实 际 应 用 中 ,上 述 几 种 认证 技术 
往往 结合 起 来 使 用 ,也 称 多 因子 认证 技术 。 

一 般 地 ,认证 体系 由 数字 证 书 认证 机 构 (CA) .数字 证 书 审核 注册 中 心 (RA) 、 密 钥 管 
理 中 心 (KMC) .目录 服务 系统 .可 信 时 间 惟 系统 组 成 。 由 于 这 种 认证 体系 以 CA 为 核心 ， 
通常 又 称 电子 证 书 认证 系统 。 该 体系 的 作用 主要 是 证 书 查询 验证 服务 。 

CA 是 认证 体系 的 核心 ,提供 的 服务 主要 包括 : 发 放 和 管理 证 书 ;证 书 认 证 服务 ;管理 
证 书 撤销 列表 ;设立 .审核 和 管理 注册 中 心 。 它 负责 对 证 书 的 整个 生命 周期 进行 管理 。 利 
用 CA 所 签发 的 证 书 能 够 实现 身份 鉴别 .实体 认证 .数字 签名 .数据 加 密 和 密 钥 协商 等 安 
全 功能 。 

RA 是 CA 的 延伸 ,是 用 户 注 册 审 核 机 构 。 注 册 中 心 由 认证 中 心 授 权 运 作 ,提供 的 服 
务 主要 包括 : 证 书 申 请 的 注册 受理 ,审核 用 户 真实 身份 ,下 载 证 书 ,设立 .审核 和 管理 证 书 
受理 核发 点 。 

密 钥 管理 中 心 是 电子 证 书 认证 系统 的 一 个 重要 组 成 部 分 ,主要 负责 向 CA 提供 密 钥 
管理 服务 。 密 钥 管理 中 心 按照 国家 有 关 密 码 管理 政策 和 法 规 为 证 书 管 理 提供 加 密 密 钥 的 
产生 ,登记 认证、 分 发 ,查询 .注销 归档 及 恢复 等 管理 服务 ,按照 与 认证 中 心 统一 规划 、 同 
步 建设 有 机 结合 ,独立 设置 ,分别 管理 的 原则 建设 和 管理 。 

目录 服务 是 一 种 专门 的 数据 库 , 是 软件 硬件 .策略 以 及 管理 的 合成 体 ,服务 于 各 种 应 
用 程序 。 目 录 服 务 至 少 应 包括 以 下 几 方 面 内 容 : 

(1) 包含 在 目录 中 的 信息 。 

(2) 保存 信息 的 软件 服务 端 。 

(3) 扮演 存 取信 息 的 软件 客户 端 。 
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(4) 支持 服务 端 ,客户 端 软件 的 硬件 。 

(5) 支撑 系统 ,如 操作 系统 、 设 备 驱 动 等 。 

(6) 连接 客户 端 到 服务 端 以 及 各 个 服务 端 之 间 的 网 络 基 础 设施 。 

(7) 策略 ,规定 谁 能 访问 , 谁 能 更 新 , 谁 能 存 取 等 。 

(8) 维护 和 监视 目录 服务 的 软件 。 

认证 体系 中 的 目录 服务 涉及 轻 量 级 目录 访问 协议 (Lightweight Directory Access 
Protocol,LDAP) 和 基于 X. 500 的 目录 。 这 些 目 录 都 是 通用 的 标准 的 目录 ,不 适合 特定 
的 操作 系统 和 应 用 。 其 中 ,LDAP 轻 量 级 目录 访问 协议 ,对 X. 500 目录 访问 协议 进行 了 
简化 ,并 且 在 功能 数据 表示 ,编码 和 传输 等 方面 都 进行 了 相应 的 修改 。 目 前 ,LDAP v3 
已 经 在 PKI 体系 中 被 广泛 应 用 于 证 书信 息 发 布 .CRL 信息 发 布 .CA 策略 以 及 与 信息 发 
布 相关 的 各 个 方面 。 

可 信 时 间 戳 服务 基于 国家 权威 时 间 源 和 公开 密 钥 基础 设施 PKI 技术 ,为 实际 应 用 提 
供 精确 可 信 的 时 间 戳 ,以 保证 系统 处 理 的 数据 在 某 一 时 间 ( 之 前 ) 的 存在 性 及 相关 操作 的 
相对 时 间 顺 序 , 为 应 用 服务 的 不 可 否认 性 和 可 审计 性 提供 支持 。 可 信和 时间 截 服务 系统 必 
须 从 国家 权威 的 时 间 源 获得 全 系统 统一 的 时 间 , 即 从 国家 授时 中 心 获 取 权 威 的 时 间 。 

证 书 查 询 验 证 服务 系统 为 应 用 系统 提供 证 书 认 证 服务 ,包括 目录 查询 服务 和 证 书 在 
线 状态 查询 服务 。 证 书 查询 验证 服务 系统 主要 包括 LDAP 服务 器 和 OCSP 服务 器 ,提供 
包括 各 类 证 书 发 布 .CRL 发 布 和 证 书 状 态 在 线 查询 服务 。 


332 基本 模型 


对 于 上 述 认 证 体系 ,通常 认为 它 有 三 种 基本 的 信任 模型 ,分 别 是 树 状 模型 .信任 链 模 
型 和 网 状 模型 。 


1 树 状 模型 

在 树 状 模型 中 ,各 结 点 按照 一 定 的 层次 关系 ( 即 上 下 级 关系 ) 组 织 在 一 起 ,任意 两 个 结 
点 之 间 都 可 以 通过 它们 共同 的 上 级 结 点 或 者 根 结 点 (在 整个 树 状 模型 中 是 唯一 的 ) 建 立 一 
条 信任 路 径 。 这 种 模型 对 于 层次 结构 关系 明确 的 应 用 非常 实用 。 例 如 ,采用 层次 结构 的 
机 构 ( 例 如 同一 行业 的 中 央 级 .省 部 级 和 地 市 级 机 构 ) 所 需 的 电子 政务 应 用 。 

1) 树 状 模型 的 优点 

(1) 具有 树 状 模型 的 PKI 证 书 便于 许多 应 用 的 处 理 。 

(2) 证 书 处 理 过 程 简单 。 

(3) 只 需要 安全 地 传递 一 个 根 证 书 就 可 以 对 子 CA 签发 的 证 书 进行 认证 。 

(4) 撤销 子 CA 的 操作 方便 。 
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(5) 可 以 在 一 个 规模 很 大 的 组 织 中 通过 组 织 证 书 策略 ,简单 并 且 快 速 地 撤销 某 个 具 
有 不 同 策略 的 子 CA 签发 的 所 有 证 书 。 

(6) 信任 传递 关系 简单 。 

(7) 可 以 用 少量 的 CA 证 书 管理 大 量 的 用 户 证 书 。 

(8) 基于 树 状 模型 的 PKI 的 应 用 能 够 与 基于 信任 链 模型 PKI 的 应 用 之 间 进 行 互 
操作 。 

2) 树 状 模型 的 缺点 

(1) 必须 仔细 保护 根 CA 的 密 钥 ,因为 根 CA 的 密 钥 一 旦 丢失 (或 被 破坏 ) 将 使 整个 系 
统 的 所 有 用 户 受到 威胁 (这 些 用 户 必须 全 部 加 载 新 的 根 CA 证 书 ) 。 

(2) 树 状 结构 可 能 与 某 些 机 构 的 实际 结构 情况 不 符 。 

(3) 基于 树 状 结构 PKI 的 机 构 可 能 不 具有 交叉 认证 能 力 ,不 能 与 基于 网 状 PKI 的 应 
用 进行 互 操 作 。 


2 信任 链 模型 

在 信任 链 模型 中 ,各 结 点 彼此 间 具 有 某 种 单一 的 信任 关系 ,但 并 不 具备 层次 关系 。 这 
种 模型 适用 于 形式 松散 ,但 又 彼此 间 存 在 信任 关系 的 机 构 , 例 如 商业 联盟 .政府 机 构 与 企 
业 的 合作 ,以 及 某 些 情况 下 的 电子 政务 外 网 。 

1) 信任 链 模型 的 优点 

(1) 广泛 应 用 于 商业 环境 中 。 

(2) 证 书 处 理应 用 软件 相对 简单 。 

(3) 可 以 由 每 一 个 使 用 公 钥 的 应 用 自行 确定 是 否 信任 某 个 CA。 

(4) 不 需要 集中 管理 。 

(5) 灵活 性 好 。 

(6) 与 基于 树 状 模型 的 PKI 保持 兼容 ,支持 相互 间 的 互 操作 。 

(7) 信任 关系 错误 传递 的 可 能 性 较 小 。 

2) 信任 链 模型 的 缺点 

(1) 对 信任 关系 的 管理 依赖 于 本 地 的 网 络 管理 员 ( 可 能 不 理解 PKI 或 者 不 具备 判断 
是 否 应 该 信任 某 个 CA 的 能 力 ) 。 

(2) 许多 应 用 软件 中 预 装 有 多 种 CA 证 书 , 用 户 虽然 并 不 清楚 这 些 CA 所 签发 的 证 书 
的 安全 级 别 , 却 通常 都 信任 这 些 证 书 。 

(3) 缺少 一 种 简单 的 证 书 撤销 机 制 。 

(4) 基于 此 类 模型 开发 的 PKI 组 件 可 能 无 法 处 理 交叉 认证 ,无 法 支持 有 关 的 互 
操作 。 
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3 网 状 模型 

在 网 状 模型 中 ,各 结 点 相互 之 间 存 在 的 信任 关系 比较 复杂 ,不 是 严格 的 层次 关系 ,也 
不 是 单一 的 信任 链 关系 ,而 是 呈现 为 错综复杂 的 网 状 关 系 。 在 电子 政务 的 认证 体系 建设 
中 ,这 种 信任 模型 通常 被 用 于 不 同行 业 的 多 个 机 构 之 间 。 

1) 网 状 模 型 的 优点 

(1) CA 的 信任 关系 符合 现实 的 信任 关系 (例如 ,商业 中 的 信任 关系 或 其 他 非 层次 的 
信任 关系 )。 

(2) 个 人 用 户 和 网 络 管理 员 不 用 维护 信任 链表 。 

(3) 不 受 分 布 式 管理 信任 链 中 的 安全 隐患 的 影响 。 

(4) 某 个 CA 证 书 失效 仅 影 响 该 CA 的 直接 用 户 ,不 存在 影响 整个 认证 系统 的 
根 CA。 

(5) 如 果 存 在 与 基于 树 状 模型 的 CA 之 间 的 交叉 认证 ,在 网 状 模型 基础 上 开发 的 应 
用 一 般 可 以 对 基于 树 状 模型 的 CA 的 证 书 进行 验证 。 

2) 网 状 模型 的 缺点 

(1) 在 规模 庞大 的 网 状 PKI 中 建立 、 验 证 信任 链 需 要 复杂 的 软件 ,并 可 能 会 影响 处 理 
的 效率 。 

(2) 任 一 个 CA 都 可 以 信任 其 他 的 CA, 受 信任 的 CA 也 可 以 信任 组 织 之 外 的 其 他 任何 
CA, 网 络 结构 的 管理 和 证 书 的 安全 扩展 必须 仔细 使 用 ,以 防 证 书 链 反映 了 错误 的 信任 关系 。 

(3) 基于 树 状 模型 或 信任 链 模型 的 PKI 应 用 不 能 直接 和 基于 网 状 模型 的 PKI 进行 
互 操作 。 


333 交叉 认证 与 桥 CA 


认证 体系 中 的 一 个 关键 问题 是 如 何 实现 互 操作 。 互 操作 问题 和 信任 模型 有 关 。 例 
如 ,基于 信任 链 模型 开发 的 PKI 组 件 可 能 不 支持 有 关 的 互 操作 ,而 基于 树 状 模型 或 信任 
链 模型 的 PKI 应 用 也 不 支持 与 基于 网 状 模型 的 PKI 应 用 之 间 的 互 操 作 。 
解决 互 操作 问题 的 途径 有 两 种 : 交叉 认证 和 
桥 CA。 
交叉 认证 用 于 原先 相互 独立 的 不 同 认证 体 
系 的 两 个 结 点 CA 之 间 ,目的 是 在 这 些 认 证 体系 
之 间 建 立信 任 关系 ,实现 方法 是 由 这 两 个 结 点 
CA 向 对 方 的 根 CA 签发 证 书 ,从 而 支持 这 两 个 
认证 体系 之 间 的 互 操作 ,如 图 3-3-1 所 示 。 图 3-3-1 交叉 认证 网 信任 模型 结构 图 
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在 上 述 的 网 状 模型 中 ,任意 两 个 结 点 间 都 采用 双向 交叉 认证 。 

在 交叉 认证 网 模型 中 ,如 果 没 有 命名 空间 的 限制 ,那么 任何 CA 都 可 对 其 他 CA 发 
证 ,所 以 这 种 结构 非常 适合 表示 动态 变化 的 组 织 结构 ,但 是 在 构建 有 效 地 认证 路 径 时 ,很 
难 在 网 中 确定 一 个 CA 是 否 是 另 一 个 CA 的 适当 的 证 书 颁发 者 。 很 长 的 .跨越 很 多 结 点 
的 , 非 层 状 的 信任 路 径 会 被 认为 是 不 可 信 的 ,显然 在 这 个 模型 中 路 径 的 构建 比 层次 模型 复 
杂 得 多 ,需要 对 不 同 CA 发 布 的 证 书 进行 反复 的 比较 ,不 但 要 建立 一 个 从 被 验证 方 开 始 到 
验证 者 所 在 域 的 完整 的 信任 路 径 , 每 一 个 验证 者 还 需要 建立 自己 到 信任 链 的 路 径 。 其 中 
的 封闭 环 路 一 定 要 检测 出 来 并 丢弃 掉 , 对 可 能 存在 的 多 路 径 要 用 策略 进行 过 滤 和 优先 级 
的 设置 。 

桥 CA 是 交叉 认证 的 一 个 特例 , 它 与 原先 彼此 独立 的 各 个 信任 体系 的 根 结 点 进行 交 
又 认证 ,从 而 在 这 些 根 结 点 之 间 建 立信 任 关系 ,如 图 3-3-2 所 示 。 


图 3-3-2 桥 CA 信任 模型 结构 图 


对 于 小 规模 的 PKI 应 用 ,可 以 在 树 状 模型 基础 上 采用 交叉 认证 。 但 是 如 果 PKI 应 用 
规模 较 大 , 根 与 根 之 间 的 交叉 认证 就 会 变 得 相当 庞大 ,交叉 认证 不 便于 解决 这 种 问题 ,所 
以 产生 了 桥 式 结构 ,又 称 桥 CA 模型 。 这 种 结构 被 美国 联邦 PKI 所 采用 。 

桥 CA 模型 实现 了 一 个 集中 的 交叉 认证 中 心 , 它 的 目的 是 提供 交叉 证 书 , 而 不 是 作为 
证 书 路 径 的 根 。 对 于 各 个 异 构 模式 的 “ 根 ? 结 点 来 说 , 它 是 它们 的 同 级 ,而 不 是 上 级 。 当 一 
个 企业 与 桥 CA 建立 了 交叉 证 书 ,那么 ,他 就 获得 了 与 那些 已 经 和 桥 CA 交叉 认证 的 企业 
进行 信任 路 径 构 建 的 能 力 。 

显然 , 桥 CA 模型 中 在 域 间 也 可 确定 一 条 唯一 的 信任 路 径 , 桥 CA 是 在 大 量 组 织 中 扩 
展 PKI 的 一 种 重要 方法 。 但 是 桥 CA 必须 要 有 一 个 大 家 都 信任 的 第 三 方 来 充当 桥 CA， 
它 要 和 所 有 的 域 进 行 交 叉 认证 ,并 且 管 理 所 有 的 策略 映射 ,在 实践 中 是 很 难 确立 这 样 一 个 
第 三 方 的 。 
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334 体系 结构 


1. CA 结构 
如 图 3-3-3 所 示 ,一 个 完整 的 CA 系统 从 逻辑 上 来 说 ,主要 包括 以 下 四 部 分 。 


网 络 隔 离 与 访问 控制 OO 


证 书 发 布 
证 书 实时 查询 系统 


图 3-3-3 CA 系统 的 逻辑 结构 


1) 证 书 管理 模块 

CA 系统 的 核心 模块 ,用 于 生成 /签发 并 管理 公 钥 证 书 和 证 书 撤销 列表 ,负责 证 书库 
的 维护 。 

2) 密 钥 管理 模块 

用 于 生成 ,管理 CA 系统 所 需 的 密 钥 ,管理 .维护 密 钥 库 。 

3) 注册 管理 模块 

CA 系统 面向 最 终 实体 (用 户 、 服 务 器 等 ) 的 接口 ,负责 接受 证 书 申请 ,管理 最 终 实体 
申请 信息 ,审核 和 执行 对 最 终 实 体 的 相关 操作 。 

4) 证 书 发 布 及 实时 查询 系统 

可 集中 存储 所 有 最 终 实体 的 证 书信 息 , 并 向 全 系统 发 布 可 以 公开 的 证 书信 息 和 证 书 
撤销 信息 ,提供 证 书 状态 在 线 查 询 服务 。 

上 述 四 部 分 根据 重要 程度 不 同 分 别 采用 网 络 隔离 或 其 他 访问 控制 措施 将 其 划分 
江 米 ; 

其 中 ,CA 的 结构 设计 通常 遵循 两 种 思路 : 集中 式 和 分 层 式 。 集 中 式 CA 通过 一 个 统 
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一 的 CA 中 心 进行 集中 管理 和 负责 统一 维护 ,结构 简单 ,但 是 工程 实施 难度 较 大 。 分 层 式 
CA 采用 分 层 设计 (例如 ,在 电子 政务 应 用 中 ,按照 行政 级 别 分 为 部 级 、 厅 级 和 局 级 这 三 
层 ) 进 行 分 散 管理 和 统一 协调 ,结构 比较 复杂 ,但 是 工程 实施 比较 容易 ,并 且 和 电子 政务 中 
许多 机 构 自 身 的 层次 化 组 织 形式 相符 。 

CA 的 具体 结构 设计 需要 结合 实际 应 用 需求 的 特点 。 一 般 认为 ,这 主要 取决 于 应 用 
机 构 的 规模 大 小 和 业务 量 的 大 小 。 对 于 规模 和 业务 量 小 的 机 构 ,集中 式 的 CA 简单 易 行 ， 
成 本 也 较 低 。 对 于 规模 和 业务 量 大 的 机 构 , 尤 其 是 对 于 自身 具有 层次 化 组 织 特点 的 机 构 ， 
建立 统一 的 CA 中 心 管理 和 维护 困难 并 且 成 本 较 高 ,采用 分 层 式 CA 则 能 够 明显 降低 工 
程 实施 的 复杂 程度 ,同时 也 能 够 调动 下 级 机 构 参 与 管理 的 积极 性 。 

在 具体 的 CA 应 用 中 ,证 书 管理 通常 包括 : 证 书 申请 ,证 书签 发 ,证 书 的 存储 与 发 放 ， 
证 书 查询 ,证书 撤销 和 证 书 删 除 。 证 书 申请 有 两 种 方式 , 即 在 线 申请 方式 和 离线 申请 方 
式 。 证 书签 发 可 以 依据 用 户 需要 签发 单 证 书 或 双 证 书 。 前 者 指 签名 证 书 , 后 者 指 签名 证 
书 和 加 密 证 书 。 

2 RA 结构 

RA 结构 主要 有 两 种 , 即 独立 式 RA 和 嵌入 式 RA。 

独立 式 RA 的 体系 结构 如 图 3-3-4 所 示 。 


基本 安全 
> 防护 系统 
证 书 审核 
注册 服务 器 


密码 
服务 系统 


数据 库 
服务 器 


1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
| 
1 
管理 终端 | 
1 
业务 终端 | 
1 

1 

1 

1 

1 

1 

1 

1 

1 

1 

1 

| 


图 3-3-4 独立 式 RA 体系 结构 图 
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在 独立 式 RA 体系 结构 中 ,RA 中 心 由 证 书 审核 注册 服务 器 、 数 据 库 服务 器 .各 类 终 
端 ,基本 安全 防护 系统 和 密码 服务 系统 组 成 。 如 果 是 本 地 RA, 则 RA 与 后 面 交换 机 相连 
的 证 书 认证 系统 进行 交互 ,如 果 是 远程 RA, 则 RA 与 网 络 上 的 证 书 认证 系统 进行 相连 。 

RA 采用 客户 端 /服务 器 结构 ,包括 RA 服务 器 、RA 客户 端 。RA 客户 端 由 录入 、 审 
核 ,管理 ,审计 四 个 模块 组 成 ,完成 证 书 申 请 和 管理 的 工作 ,如 图 3-3-5 所 示 。 


SPKM | SPKM 项 密码 
证 书 服务 器 。。 6B 剖 。 国 有 入 


终端 
密码 
服务 系统 


图 3-3-5 RA 体系 结构 


RA 客户 端 通过 RA 服务 器 进行 数据 通信 ,每 个 RA 客户 端 与 RA 服务 器 之 间 以 及 
RA 服务 器 与 证 书 认证 系统 之 间 都 采用 SPKM 协议 进行 加 密 通信 ,以 保证 系统 通信 的 安 
全 性 。 

符 入 式 RA 的 体系 结构 是 根据 机 构 的 业务 特点 并 通过 采用 RA 前 置 机 系统 ,其 系统 
结构 如 图 3-3-6 所 示 。 其 工作 原理 是 : 首先 ,通过 在 机 构 原 有 的 业务 系统 中 嵌入 证 书 注册 
服务 代理 模块 ,接收 用 户 证 书 管理 请 求 ; 接 着 ,证 书 管理 请 求 通过 这 些 业务 系统 将 数据 传 


RA 前 置 机 | 一 | RA 服务 器 


| 电子 政务 
应 用 服务 器 a 
| | 多 ( 谍 入 终端 ( 谋 入 

| | 证 注册 服 证 书 注册 服 

| | 务 代理 ) 务 代理 ) 


图 3-3-6 肉 入 式 RA 体系 结构 图 
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入 RA 前 置 机 ;最 后 ,RA 前 置 机 通过 安全 的 模式 将 数据 格式 转换 为 认证 系统 能 够 识别 的 
数据 ,从 而 完成 数据 的 上 传 和 下 载 过 程 。 

嵌入 式 RA 体系 结构 的 特点 是 : 减少 投资 ,节省 人 力 ;容易 实现 数据 共享 ;便于 管理 ; 
具有 良好 的 灵活 性 ;系统 更 加 友好 ,使 用 者 不 需要 另行 培训 。 


3 可 信和 目录 服务 的 结构 

设计 可 信和 目录 服务 的 核心 是 目录 树 的 结构 设计 。 目 录 树 提供 了 一 种 对 目录 数据 进行 
组 织 的 方法 (例如 按照 部 门 . 地 理 位 置 . 工 作 性 质 等 方式 组 织 用 户 数据 ) 。 目 录 树 的 结构 设 
计 为 目录 数据 的 命名 和 应 用 访问 提供 基本 框架 。 这 种 设计 应 符合 LDAP 层次 模型 ,并且 
遵循 以 下 三 个 基本 原则 : 

(1) 有 利于 简化 目录 数据 的 管理 。 

(2) 可 以 灵活 的 创建 数据 复制 和 访问 策略 。 

(3) 支持 应 用 系统 对 目录 数据 的 访问 要 求 。 

公 钥 证 书 系统 的 目录 服务 结构 设计 如 图 3-3-7 所 示 。 


根 “ 门 


旧 组 Rn 
组 织 机 构 川 | LA 
CAm CA 信息 
交叉 证 书 
ARL 
CRL 
mH VPN 
证 书 用 户 
上 | 站 点 
WAP 
HH CRL 
一 双 证 书 


图 3-3-7 公 铀 证 书 系统 的 目录 服务 结构 设计 
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4 可 信和 时 间 戳 的 体系 结构 

可 信和 时 间 戳 服务 系统 的 体系 结构 如 图 3-3-8 所 示 。 其 中 ,各 主要 组 成 元 素 的 作用 分 
别 是 : 

(1) 时 间 服 务 器 : 通过 国家 授时 中 心 为 时 间 戳 服务 提供 可 信和 时间 服务 ,监控 并 校准 
时 间 戳 服务 器 的 时 间 。 

(2) 时 间 截 证 据 存储 服务 器 : 安全 存储 时 间 蕉 及 其 相关 数据 。 

(3) 时 间 戳 服务 器 : 为 请 求 数据 签发 可 信 的 时 间 截 。 

(4) 密码 服务 系统 : 为 时 间 戳 服务 提供 基本 的 密码 操作 。 


国家 授时 中 心 
八 |! | !! 
| 总 上 一 | 时 间 杭 服 务 负载 均 队 | | | 
用 | | | ! 
| ! ! 六 
系 | | . | 时 间 蕉 服务 器 1 | 1 
统 时 间 服 务 器 ' 一 
人 ! | 时 间 截 服务 器 2 


时 间 戳 证据 
存储 服务 器 


| 时 间 夫 服务器” 


密码 服务 系统 


图 3-3-8 可 信 时 间 戳 服务 系统 体系 结构 


5 证书 查询 验证 服务 系统 的 应 用 模式 

证 书 查 询 验证 服务 系统 的 应 用 模式 如 图 3-3-9 所 示 。 

当 客 户 端 访问 服务 端 应 用 时 ,需要 向 服务 器 证 明 其 合法 身份 。 此 时 ,客户 端 会 提交 能 
够 证 明 用 户 身份 的 身份 证 书 ,证 书 查 询 验 证 服务 就 会 验证 用 户 证 书 的 颁发 机 构 是 否 可 信 、 
证 书 的 签名 是 否 有 效 ,证 书 是 否 过 期 。 当 这 些 验证 都 通过 后 ,证书 查 询 验 证 服务 系统 就 会 
去 LDAP 服务 器 或 者 OCSP 服务 器 请 求 验 证 用 户 证 书 是 否 已 经 被 吊销 。LDAP 里 存储 
了 CRL( 证 书 黑 名 单列 表 ), 所 有 被 系统 吊销 的 用 户 证 书信 息 都 被 登记 在 CRL 中 ,而 
OCSP 则 需要 有 应 用 程序 调用 OCSP API 访问 OCSP 服务 器 ,查询 用 户 证 书 此 时 的 状态 。 
OCSP 会 返回 “有 效 无效、 未 知 ” 三 种 状态 ,应 用 服务 器 根据 返回 结果 来 验证 用 户 的 真实 
身份 。 
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图 3-3-9 证 书 查询 验证 服务 系统 的 应 用 模式 


335 主要 组 件 的 功能 要 求 
主要 包括 CA、RA, 密 钥 管理 中 心 KMC 可 信 目 录 服 务 .可 信 时 间 截 的 功能 要 求 。 


1 CA 的 功能 要 求 

下 面 介绍 CA 的 功能 要 求 。 

1) Web 方式 的 服务 

提供 数字 证 书 认证 中 心 的 安全 可 信和 的 Web 方式 的 服务 。 

2) 证 书 /证 书 撤销 列表 签发 服务 

(1) 支持 X. 509 v3 或 X. 509 v4 证 书 格式 。 

(2) 支持 X. 509 v2 证 书 撤销 列表 格式 。 

(3) 采用 国家 密码 主管 部 门 审批 的 签名 算法 完成 签名 操作 ,提供 各 种 数字 证 书 及 证 
书 撤销 列表 的 签发 服务 。 

3) 证 书 管 理 服务 

主要 是 对 各 种 数字 证 书 内 部 管理 员 证 书 及 操作 员 证 书 进行 管理 。 

4) 证 书 撤销 列表 管理 服务 

(1) 提供 证 书 撤销 列表 的 操作 策略 及 管理 策略 。 

(2) 安全 管理 证 书 撤销 列表 。 

(3) 证 书 撤销 列表 的 生成 。 

(4) 证 书 撤销 列表 的 更 新 。 

(5) 证 书 撤销 列表 的 发 布 。 
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5) 密码 服务 

(1) 采用 国家 密码 主管 部 门 审批 认可 的 加 密 及 签名 算法 。 

(2) 建立 密码 服务 机 制 。 

(3) 采用 国家 密码 主管 部 门 审批 的 密码 设备 提供 密码 服务 ,实现 安全 的 证 书签 发 等 
功能 。 

(4) 私 钥 必 须 存 储 在 硬件 密码 设备 中 ,硬件 密码 设备 须 具备 密 钥 备份 管理 机 制 ,并 应 
具备 设备 安全 和 敏感 信息 保护 机 制 ;设备 的 真实 性 鉴别 ; 私 钥 导 和 人 应 采取 安全 处 理 措施 。 

(5) 对 内 部 软件 模块 提供 统一 调度 管理 。 

(6) 支持 密码 设备 动态 按 需 加 载 并 且 不 中 断 系统 密码 服务 。 

(7) 提供 系统 的 可 信和 上 日志 审 计 及 统计 服务 。 

(8) 提供 系统 运行 状态 管理 ,对 设备 运行 进行 监测 和 控制 。 

6) 数据 管理 服务 

(1) 提供 数据 安全 管理 与 维护 。 

(2) 管理 机 构 ,设备 ,内 部 人 员 的 证 书 申请 信息 ,证 书信 息 证据、 认证 策略 信息 ,操作 
策略 信息 ,业务 操作 日 志 等 。 

(3) 核心 数据 的 加 密 存储 。 

(4) 数据 备份 功能 。 

(5) 数据 库 的 防 攻击 、 防 灾害 功能 。 

7) 目录 管理 服务 

(1) 基于 LDAP 技术 的 目录 访问 控制 服务 。 

(2) 证 书库 和 证 书 撤销 列表 的 发 布 。 

(3) 证 书库 和 证 书 撤销 列表 的 下 载 。 

(4) 证 书库 和 证 书 撤销 列表 的 更 新 。 

(5) 证 书库 和 证 书 撤销 列表 的 恢复 。 

(6) 证 书库 和 证 书 撤销 列表 的 实时 状态 查询 功能 。 

(7) 基于 OCSP 技术 的 证 书 状态 在 线 查询 服务 。 

8) 交叉 认证 服务 

需要 时 ,提供 各 种 电子 业务 的 数字 证 书 , 认 证 中 心 提供 交叉 认证 服务 。 

9) 日 志 服 务 

(1) 记录 管理 员 和 操作 员 的 所 有 动作 。 

(2) 记录 整个 证 书 认证 系统 中 各 子 系统 的 内 部 运行 错误 和 异常 。 

(3) 对 整个 CA 体系 的 发 卡 数量 做 实时 统计 和 分 析 。 

(4) 提供 查询 ,分析 和 审计 管理 。 
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(5) 提供 统计 报表 输出 。 

(6) 对 日 志 进 行 备份 。 

10) 动态 扩展 

(1) 证 书 认证 中 心 的 主要 功能 模块 随 着 业务 量 的 增加 ,可 动态 增加 相应 的 模块 单元 ， 
如 Web 服务 单元 .应 用 服务 单元 等 ,以 适应 业务 扩展 的 需求 。 

(2) CA 系统 的 体系 结构 能 够 依据 需要 进行 纵向 扩展 。 

11) 用 户 服务 

(1) 个 人 证 书 管理 : 通过 界面 友好 、 操 作 简 单 的 个 人 证 书 管理 的 客户 端 软件 帮助 用 
户 管理 和 维护 自己 的 数字 证 书 , 提 供 个 人 证 书 定制 服务 。 

(2) 证 书 到 期 更 新 通知 服务 : 基于 C/S 或 B/S 模式 对 证 书 进行 统计 查询 ,制定 更 新 
规则 并 自动 发 送 提示 信息 。 

(3) 用 户 证 书 统计 报表 服务 : 为 提高 对 于 用 户 服务 请 求 的 响应 速度 ,自动 搜集 关于 
证 书 的 请 求 ,状态 等 信息 ,并 进行 必要 的 分 析 和 统计 ,形成 可 视 报表 。 

12) 用 户 服务 功能 的 扩展 

可 根据 业务 需求 以 及 用 户 个 性 化 需求 ,通过 简便 易 行 的 方式 添加 新 的 服务 功能 模块 。 


2 RA 的 功能 要 求 

RA 的 功能 要 求 如 下 。 

1) Web 服务 

提供 安全 可 信 的 Web 服务 ,具体 包括 : 数据 流 加 解密 ,信息 完整 性 验证 ,身份 鉴别 、 
信息 抗 否 认 和 访问 控制 。 

2) 用 户 服务 功能 

(1) 证 书 注册 : 完成 用 户 信息 注册 功能 。 

(2) 用 户 审核 : 根据 RA 操作 规程 和 制定 的 审核 策略 审核 用 户 的 注册 信息 是 否 正确 
无 误 , 自 动向 用 户 反馈 有 关 消息 。 记 录 每 次 审核 日 志 ,提供 工作 量 统计 ,处 理 跟踪 分 析 ,处 
理 异常 情况 分 析 。 

(3) 证 书 申请 : 受理 用 户 的 证 书 申请 ,将 合法 申请 转发 至 CA 中 心 ,请 求 CA 中 心 为 
合法 用 户 签发 证 书 。 

(4) 证 书 下 载 : 通过 可 信 的 Web 服务 ,使 用 户 可 以 在 线 下 载 所 申请 的 证 书 。 

(5) 证 书 注销 : 负责 将 用 户 申请 注销 证 书 的 申请 转发 至 CA 中 心 , 当 得 到 用 户 确认 后 
注销 该 证 书 。 

(6) 证 书 更 新 : 受理 各 种 证 书 更 新 申请 ,负责 将 申请 转发 至 CA 中 心 。 

(7) 密 钥 恢复 : 通过 一 定 的 审查 验证 策略 ,为 用 户 向 CA 中 心 请 求 恢复 加 密 密 钥 , 提 
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供用 户 加密 密 钥 恢复 功能 。 

3) 证 书 管理 服务 

(1) 提供 证 书 认证 策略 及 操作 策略 的 管理 。 

(2) 对 自身 证 书 进行 安全 管理 。 

(3) 对 内 部 管理 员 数 字 证 书 ,操作 员 数 字 证 书 进行 统一 管理 。 

(4) 支持 批 处 理 方式 发 放 证 书 。 

4) 密码 服务 

(1) 用 国家 密码 主管 部 门 审批 认可 的 加 密 及 签名 算法 。 

(2) 用 国家 密码 主管 部 门 审批 的 密码 设备 提供 密码 服务 ,实现 安全 的 证 书签 发 等 
功能 。 

(3) 密 钥 必须 存储 在 硬件 密码 设备 中 ,硬件 密码 设备 须 具 备 密 钥 备份 管理 机 制 , 并 具 
备 以 下 三 项 具体 功能 : 应 具备 设备 安全 和 敏感 信息 保护 机 制 ; 设 备 的 真实 性 鉴别 ; 私 钥 导 
和 过程 必须 安全 。 

(4) 对 内 部 软件 模块 提供 统一 调度 管理 。 

(5) 支持 密码 设备 按照 需要 动态 地 加 载 ,并 且 密 码 设备 的 加 载 不 能 中 断 系统 密码 
服务 。 

(6) 提供 系统 的 可 信 日 志 审 计 及 统计 服务 。 

(7) 提供 系统 运行 状态 管理 ,对 设备 运行 进行 监测 和 控制 。 

5) 数据 管理 服务 

(1) 提供 数据 安全 管理 与 维护 。 

(2) 管理 机 构 ,设备 ,内 部 人 员 的 证 书 申请 信息 .用户 资料 ,证 书信 息 ,证 据 、 认 证 策略 
信息 .操作 策略 信息 、 业 务 操作 日 志 等 。 

(3) 核心 数据 的 加 密 存储 。 

(4) 数据 备份 。 

(5) 数据 库 的 防 攻击 与 防 灾害 。 


3 密 钥 管理 中 心 的 功能 要 求 

密 钥 管 理 中 心 (KMC) 的 功能 要 求 如 下 : 

(1) 密 钥 管理 策略 的 制定 。 

(2) 密 钥 生 成 与 存储 : 在 双 密 钥 证 书 系统 中 ,用 户 密 钥 中 的 加 密 密 钥 对 在 密 钥 管理 
中 心 生成 ,签名 密 钥 对 在 用 户 端 或 者 用 户 端 授 权 的 可 信 第 三 方 生 成 。 密 钥 管 理 中 心 为 用 
户 生 成 密 钥 对 并 负责 保存 ,生成 加 密 密 钥 对 后 由 CA 中 心 以 安全 的 方式 分 发 给 用 户 。 

(3) 密 钥 分 发 : 证 书 是 密 钥 分 发 的 一 种 有 效 方式 ,用 户 密 钥 生成 后 发 送 给 认证 中 心 ， 
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由 认证 中 心 完成 对 包含 密 钥 的 证 书 的 签发 和 管理 。 密 钥 管理 中 心 也 可 以 采用 带 密码 运算 
的 IC 卡 来 安全 管理 用 户 密 钥 。 

(4) 密 钥 查询 : 当 用 户 ( 主 要 是 密 钥 的 合法 使 用 者 ,或 者 需要 得 到 有 关 的 密 钥 信息 并 
进行 执法 工作 的 特殊 用 户 ) 需 要 查询 密 钥 信息 时 ,需要 向 CA 中 心 提 交 用 户 申请 表 , CA 
中 心 在 进行 证 书 验证 并 许可 后 ,将 用 户 申请 表 及 用 户 证 书 提交 给 密 钥 管理 中 心 , 密 钥 管理 
中 心 将 对 应 的 历史 信息 链 从 数据 库 中 取出 ,并 利用 用 户 证 书 制作 数字 信封 后 ,发 送 给 CA 
中 心 , 由 CA 中 心 交 给 用 户 。 

(5) 密 钥 恢复 。 

Q@ 密 钥 恢 复 确 保 用 户 在 忘记 了 存储 密 钥 的 口令 ,或 者 存储 密 钥 的 智能 密码 钥匙 遭 到 
破坏 的 情况 下 继续 使 用 其 密 钥 。 

@ 对 于 用 户 申请 的 密 钥 恢复 服务 ,必须 通过 指定 的 管理 人 员 进 行 相关 操作 ,具体 过 
程 是 : 首先 向 CA 认证 中 心 提 出 密 钥 恢复 申请 ,CA 认证 中 心 收 到 用 户 的 密 钥 恢复 申请 并 
核验 该 用 户 的 合法 身份 后 ,将 用 户 的 密 钥 恢复 请 求 转发 给 密 钥 管理 服务 器 ; 密 钥 管理 服务 
器 在 确认 CA 中 心 转发 的 密 钥 恢复 请 求 为 合法 后 ,从 其 所 托管 的 密 钥 库 中 恢复 所 需要 的 
托管 密 钥 记录 ,签名 加 密 后 ,返还 CA 认证 中 心 ,CA 认证 中 心 再 将 收 到 的 密 钥 信息 安全 
地 返还 用 户 ;CA 认证 中 心 返回 给 密 钥 管理 服务 器 一 个 确认 。 

@ 在 上 述 密 钥 恢 复 过 程 中 ,所 有 密 钥 恢 复 请 求 信息 、 返 还 密 钥 记录 信息 都 必须 经 过 
签名 和 加 密 , 以 保证 密 钥 记录 和 请 求 来 源 的 完整 性 .机密 性 和 不 可 否认 性 。 

(6) 密 钥 备份 。 

@ 为 确保 重要 数据 不 被 丢失 ,必须 对 用 于 解密 的 私 钥 进 行 备份 。 

@ 如 果 密 钥 对 已 经 生成 但 尚未 被 用 户 使 用 ,KMC 对 其 进行 加 密 并 将 其 存 人 预 生 成 
数据 库 。 

@ 如 果 密 钥 对 已 经 生成 并 被 用 户 使 用 ,KMC 对 其 进行 加 密 并 将 其 存 人 密 钥 数据 库 ， 
以 便 在 需要 时 进行 恢复 和 查询 操作 。 

(7) 密 钥 归档 。 

Q@ 在 进行 密 钥 更 新 时 ,为 了 保证 以 前 加 密 的 数据 不 丢失 ,需要 对 用 于 解密 的 私 钥 进 
行 归 档 。 存 档 的 时 间 由 安全 策略 决定 。 归 档 后 的 密 钥 形 成 历史 信息 链 , 供 用 户 查 询 或 
恢复 。 

@ 密 钥 更 新 时 , 密 钥 管理 中 心 需 将 旧 的 密 钥 归档 ,即将 正在 使 用 数据 库 中 该 用 户 的 
密 钥 转 和 人 归档 数据 库 , 并 插 和 人 对 应 的 历史 信息 链 中 , 供 以 后 用 户 恢复 及 查询 。 

(8) 密 钥 托管 : 在 用 户 密 钥 丢失 或 需要 调查 取证 等 情况 下 ,从 系统 提供 的 信息 中 获 
取 用 户 密 钥 ,解密 用 户 加 密 的 数据 ,以 还 原 用 户 密 钥 或 获取 需要 的 证 据 。 

(9) 密 钥 销毁 : 密 钥 管理 系统 必须 以 安全 的 方式 销毁 过 期 的 .丢失 的 和 等 待 更 新 的 
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(10) 密 钥 更 新 : 在 更 新 某 个 密 钥 之 前 ,必须 首先 确认 原 密 钥 已 经 被 安全 销毁 。 


4 可 信和 目录 服务 系统 的 功能 要 求 

可 信和 目录 服务 系统 的 功能 要 求 如 下 : 

(1) 证 书 发 布 功能 : LDAP 服务 系统 为 证 书 业务 服务 系统 提供 证 书 发 布 .证书 更 新 
服务 ,为 用 户 提供 证 书 下 载 服务 。 

(2) CRL 发 布 功能 : LDAP 服务 系统 为 证 书 业务 服务 系统 提供 证 书 撤销 列表 (CRL) 
发 布 .证 书 撤销 列表 (CRL) 更 新 服务 ,为 用 户 提供 CRL 下 载 服务 。 

(3) 同步 功能 : LDAP 服务 系统 以 分 布 式 方式 提供 服务 ,目标 LDAP 通过 和 CA 中 
心 源 LDAP 系统 同步 来 实现 此 功能 。 方 便 用 户 下 载 证 书 和 CRL 列表 。 

(4) 属性 证 书 的 发 放 功能 : LDAP 服务 系统 为 属性 证 书 业务 服务 系统 提供 证 书 发 
布 证 书 更 新 服务 ,为 用 户 提供 证 书 下 载 服务 。 

(5) ACRL 列表 的 发 布 : LDAP 服务 系统 为 属性 证 书 业务 服务 系统 提供 证 书 撤销 列 
表 (ACRL) 发 布 .证 书 撤销 列表 (ACRL) 更 新 服务 ,为 用 户 提供 ACRL 下 载 服务 。 

(6) 采用 负载 均衡 技术 ,系统 具备 可 伸缩 配置 及 动态 平滑 的 扩展 能 力 。 

(7) 可 以 根据 业务 量 大 小 动态 增 减 服务 单元 ,调整 系统 业务 能 力 。 

(8) 可 以 有 效 地 抵御 各 种 常见 攻击 行为 。 


5 可 信和 时 间 戳 的 功能 要 求 

可 信 时 间 戳 的 功能 要 求 如 下 : 

(1) 时 间 服 务 器 通过 时 间接 收 设备 从 可 信 时 间 源 获取 时 间 , 同 时 与 时 间 戳 服务 器 进 
行 对 时 。 

(2) 时 间 截 证 据 存储 单元 安全 保存 时 间 戳 ,确保 数据 的 可 审计 性 ,实现 系统 数据 处 理 
的 抗 否认 性 。 

(3) 时 间 惟 服务 负载 均衡 模块 ,实现 分 布 式 计算 ,确保 时 间 戳 服务 的 高 效 性 有 效 性 
和 持续 性 。 

(4) 时 间 蕉 服务 器 通过 公 钥 基础 设施 (PKI) 技 术 , 为 符合 请 求 格 式 的 数据 加 盖 可 信 
的 时 间 堆 。 

(5) 时 间 服 务 器 从 国家 授时 中 心 获取 权威 的 时 间 。 

6 证 书 查询 验证 服务 系统 的 功能 要 求 

证 书 查询 验证 服务 系统 的 功能 要 求 如 下 : 

(1) 在 线 发 布 ,查询 和 下 载 证 书 。 

Q@ CA 系统 的 证 书 查询 功能 主要 采用 LDAP 协议 。CA 系统 可 以 对 证 书 进行 在 线 发 
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布 。CA 系统 签发 证 书后 ,将 用 户 的 证 书 发 布 到 系统 的 主 目录 服务 器 中 ,然后 利用 目录 服 
务 器 的 自动 映射 功能 ,将 用 户 的 证 书 发 布 到 从 目录 服务 器 中 ,以 供用 户 在 线 查询 证 书 。 同 
时 提供 Web 查询 证 书 方 式 。 

@ 用 户 可 以 在 查询 证 书信 息 后 下 载 证 书 。 系 统 支持 在 线 的 方式 获取 用 户 证 书 , 同 时 
支持 在 CA 中 心 对 外 服务 的 目录 服务 器 中 查询 其 他 用 户 的 证 书 。 

(2) 查询 和 下 载 CRL。 

@ 采用 CRL 分 布点 技术 存储 CRL。CRL 分 布点 采用 分 布 式 存储 技术 ,解决 了 CRL 
增 量 问题 。CRL 的 增长 不 会 给 系统 带 来 额外 的 负担 。 

@ 系统 中 采用 了 CRL 分 布点 技术 , 当 用 户 选择 下 载 CRL 进行 查询 时 ,下 载 的 信息 
并 不 是 CA 中 心 CRL 的 全 部 ,只 是 其 中 的 一 个 子 集 ,这 样 就 大 大 地 减少 了 信息 量 , 提 高 了 
查询 的 速度 ,降低 了 网 络 的 负担 。 

@ CRL 的 签发 可 分 为 “立即 签发 "与 “定时 签发 "两 种 ,用 户 可 根据 组 织 的 安全 策略 
进行 选择 和 使 用 。 

(3) 查询 证 书 的 在 线 状 态 。 

Q@ 由 于 CA 注销 表 是 周期 性 签发 ,并 非 是 实时 的 ,即使 其 周期 特别 短 , 在 对 证 书 状态 
实时 性 要 求 比较 高 的 应 用 中 ,CRL 验证 并 不 能 够 满足 需求 。 

@ CA 系统 提供 对 证 书 在 线 状态 查询 协议 的 支持 ,用 户 可 以 通过 标准 的 证 书 状态 查 
询 接 口 来 获取 证 书 有 效 性 的 检查 结果 。 

@ 提供 在 线 证 书 状 态 查 询 (OCSP) 功 能 以 满足 实时 证 书 验 证 的 要 求 , 任 何 证 书 的 作 
废 应 能 够 即时 反映 到 在 线 证 书 查询 中 。 

(4) 验证 证 书 的 有 效 性 。 

(5) 验证 证 书签 名 信息 。 

(6) 验证 证 书 链 。 


336 其 他 认证 技术 


除 上 述 基 于 PKI 的 认证 机 制 之 外 ,实际 应 用 中 也 经 常 依据 具体 应 用 环境 采用 口令 

(包括 个 人 识别 号 PIN) 认 证 .生物 特征 识别 等 非 密码 的 认证 机 制 。 
口令 认证 是 最 简单 使 用 最 为 普遍 的 认证 机 制 。 但 是 , 它 具 有 一 些 明显 的 脆弱 性 , 包 

括 : 外 部 泄露 口令 猜测 .线路 窃听 ` 口 令 重 放 等 。 此 外 , 它 也 可 能 对 口令 验证 者 带 来 安全 
隐患 ,导致 口令 验证 者 为 非法 用 户 提供 服务 。 口 令 认 证 机 制 的 安全 性 依赖 于 多 种 因素 ,最 
主要 的 是 口令 自身 的 强度 .口令 管理 和 口令 系统 的 设计 方法 。 

一 般 地 ,应 该 采用 满足 以 下 要 求 的 强 口令 ,这 是 针对 口令 猜测 的 最 基本 的 防护 方法 ， 
口令 长 度 至 少 为 8 位 ;口令 中 应 该 包括 数字 、 英 文字 母 (包括 大 、 小 写 ) ,特殊 符号 。 
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以 下 是 基本 的 口令 管理 方法 : 

(1) 实施 严格 ,有 效 地 口令 管理 措施 。 

(2) 对 口令 使 用 者 进行 培训 ,增强 其 安全 意识 

(3) 定期 更 新 口令 。 

(4) 确保 口令 的 使 用 者 的 唯一 性 。 

(5) 严格 限制 从 一 个 口令 认证 终端 一 次 连续 针对 同一 口令 的 认证 次 数 。 

(6) 及 时 更 改 系统 预 设 的 口令 。 

口令 系统 的 设计 必须 与 具体 应 用 环境 的 安全 认证 要 求 相 结合 。 一 般 地 ,通过 在 口令 
系统 中 的 使 用 方 和 验证 方 中 采 用 单 向 函数 ,可 以 在 一 定 程度 上 防范 线路 窃听 、 对 付 验证 者 
攻击 和 对 付 重 放 攻 击 。 

一 次 性 口令 认证 是 口令 认证 的 特殊 形式 。 它 通过 采用 随机 口令 和 同步 技术 确保 任何 
两 次 认证 中 使 用 的 口令 都 不 相同 ,能 够 有 效 防范 口令 重 放 攻击 。 

生物 特征 识别 也 是 一 种 非 密 码 的 认证 方式 。 目 前 可 以 采用 的 生物 特征 主要 有 : 指 
纹 \ 声 音 、. 虹 膜 ,视网膜 , 手 形 ,面部 等 。 其 中 ,指纹 识别 技术 ,声音 识别 技术 和 虹膜 识别 技 
术 的 发 展 相对 成 熟 ,已 经 被 用 于 一 些 认证 环境 ,例如 门禁 .网 上 银行 等 。 其 他 几 类 生物 特 
征 识别 技术 的 使 用 目前 仍 相 当 有 限 。 但 是 ,由 于 生物 特征 识别 具有 其 他 认证 机 制 不 具备 
的 优势 ,例如 使 用 的 方便 性 (无 需 携 带 或 保存 专门 的 认证 信息 ) .严格 的 唯一 性 等 , 它 具 有 
很 好 的 应 用 前 景 。 
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341 作用 


目前 我 们 所 见 到 的 授权 技术 ,主要 是 为 应 用 (包括 用 户 和 应 用 程序 ) 提 供 针对 各 种 资 
源 的 授权 管理 和 访问 控制 服务 的 技术 。 例 如 ,访问 控制 列表 等 常见 的 访问 控制 技术 都 属 
于 授权 技术 的 范围 。 由 于 在 真正 的 应 用 中 ,这 些 授 权 技 术 往 往 被 解决 方案 的 设计 者 加 以 
综合 运用 ,因此 通常 称 为 “授权 管理 基础 设施 (PMI) ”。 

由 于 PMI 将 针对 应 用 系统 资源 的 访问 控制 权限 交 由 授权 机 构 进行 统一 管理 , 它 所 实 
现 的 访问 控制 机 制 与 实际 应 用 的 处 理 模式 相对 应 ,并 且 与 具体 应 用 系统 的 开发 和 管理 模 
式 无 关 。 因 此 ,PMI 能 够 极 大 地 简化 业务 应 用 中 权限 管理 和 访问 控制 系统 的 开发 与 维护 
过 程 ,降低 管理 工作 的 复杂 性 ,降低 管理 成 本 。 此 外 ,通过 将 授权 管理 系统 与 身份 认证 系 
统 相 结合 ,PMI 补充 了 PKI 的 弱点 ,并 提供 了 PKI 与 应 用 计算 环境 的 二 者 间 的 集成 模式 。 
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使 用 PMI 平 台 构 建 访问 控制 系统 ,能 够 极 大 地 减少 开发 周期 和 开发 费用 。 通 过 使 用 
统一 的 管理 界面 ,能 够 减少 管理 的 复杂 性 ,增加 系统 的 可 维护 性 ,并 可 以 根据 应 用 的 变化 
更 改 策略 或 定制 新 的 策略 ,提高 系统 的 适应 性 。 但 是 ,PMI 只 是 电子 政务 实现 授权 管理 
和 访问 控制 服务 的 一 种 形式 。 在 某 些 具体 的 电子 政务 建设 与 应 用 环境 中 ,信息 安全 传统 
意义 中 的 访问 控制 措施 也 能 够 提供 此 类 服务 , 没 必要 构建 PMI。 


342 基本 结构 和 应 用 模型 
PMI 的 基本 结构 和 应 用 模型 如 图 3-4-1 所 示 。 


应 用 系统 
访问 者 


策略 实施 点 
(PEPS) 


权限 管理 / 
授权 服务 平台 策略 决策 点 
(PDP) 


| | 属性 权威 (AA) 


图 3-4-1 PMI 基本 结构 和 应 用 模型 


各 组 成 部 分 的 说 明 如 下 : 

(1) 访问 者 和 目标 : 均 是 实体 (可 以 是 人 或 其 他 计算 机 实体 ) 。 

(2) 策略 实施 点 (Policy Enforcement Points, PEPs): 介 于 访问 者 和 目标 之 间 , 指 已 
经 被 接口 插件 或 者 代理 修改 过 的 应 用 或 服务 (这 种 应 用 或 服务 被 用 于 实施 一 个 应 用 内 部 
的 策略 决策 ) 。 当 访问 者 申请 访问 目标 时 ,策略 实施 点 向 策略 决策 点 申请 授权 ,并 根据 授 
权 决 策 的 结果 确定 允许 访问 目标 或 拒绝 访问 。PEP 对 每 一 个 具体 应 用 可 能 不 同 。 在 具 
体 的 应 用 中 , 它 可 能 是 应 用 程序 内 部 中 进行 访问 控制 的 一 段 代码 .安全 应 用 服务 器 (例如 
Web 服务 器 及 其 上 增加 的 一 个 访问 控制 插件 ) ,或 者 安全 应 用 网 关 。 

(3) 策略 决策 点 (Policy Decision Point,PDP) : 又 称 授权 策略 服务 器 ,负责 接收 和 评 
价 授权 请 求 。 它 是 一 个 通用 处 理 逻 辑 , 根 据 具 体 策略 做 出 不 同 的 决策 ,与 具体 的 应 用 无 
关 。 当 接收 到 一 个 授权 请 求 时 , 它 从 策略 仓库 中 获得 策略 数据 ,并 依据 策略 逻辑 .访问 者 
的 安全 属性 和 当前 条 件 进 行 决策 ,然后 将 决策 结果 返回 给 策略 实施 点 。 在 具体 应 用 中 , 策 
略 决策 点 是 一 个 判断 逻辑 , 它 可 以 与 策略 实施 点 结合 在 一 起 ,也 可 以 单独 运行 于 一 个 独立 
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的 服务 器 上 。 最 简单 的 实现 方式 是 : 策略 决策 点 根据 访问 控制 列表 (Access Control 
List,ACL) 进 行 查 表 操 作 ,判断 用 户 的 权限 。 

(4) 安全 授权 策略 说 明 授 权 遵 循 的 原则 和 具体 的 授权 信息 。 具 体 而 言 ,策略 包含 应 
用 系统 中 的 所 有 用 户 信息 .资源 信息 ,以 及 这 些 信 息 的 组 织 管理 方式 ,用户 和 资源 之 间 的 
权限 关系 、 安 全 的 管理 授权 约束 、 系 统 安全 的 其 他 约束 。 

(5) 属性 权威 (Attribute Authority, AA): 属性 证 书 (AC) 的 签发 者 。 属 性 权威 的 根 
称 为 SOA。 

(6) 属性 库 : 实际 是 一 个 独立 的 LDAP 服务 器 ,主要 用 来 存放 属性 证 书 和 其 他 相关 
信息 ,并 提供 检索 服务 。 

(7) 策略 库 : 主要 用 来 存储 安全 授权 策略 数据 .用户 和 资源 信息 ,以 及 PMI 所 需 的 相 
关 数 据 。 策 略 库 可 以 是 一 个 数据 库 , 也 可 以 使 用 LDAP 存放 这 些 信息 。 对 于 某 些 应 用 ， 
可 以 将 AA 签发 的 属性 证 书 直 接 存 放 在 策略 库 , 并 将 属性 库 和 策略 库 统 称 为 策略 库 。 


343 体系 结构 与 主要 功能 


一 般 地 ,根据 资源 的 具体 特点 和 应 用 的 实际 需要 的 不 同 ,授权 管理 基础 设施 的 授权 管 
理 服务 有 两 种 工作 模式 : 集中 式 与 分 布 式 。 两 种 工作 模式 下 的 授权 管理 系统 应 该 支持 
X. 509 v4 属性 证 书 格式 。 


1 集中 式 授权 管理 服务 系统 

集中 式 授权 管理 服务 系统 基于 相对 固定 的 授权 模型 ,提供 集中 式 管理 ,通过 在 数字 证 
书 的 扩展 项 中 增加 用 户 的 属性 或 权限 信息 ,在 服务 器 端 构 建 授权 管理 (Privilege 
Management, PM) 服 务 系统 提供 授权 管理 。PM 服务 系统 提供 用 户 管理 、 审 核 管 理 , 资 源 
管理 和 角色 管理 。 

集中 式 授权 管理 服务 系统 主要 特点 是 权限 独立 下 载 至 用 户 公 钥 证 书 中 , 即 CA 和 属 
性 权威 (AA) 紧 密 结合 在 一 起 ,权限 代码 /权限 属性 嵌入 公 钥 证 书 的 扩展 项 中 。 

该 系统 的 体系 结构 如 图 3-4-2 所 示 。 

(1) 授权 管理 模块 : 完成 资源 访问 授权 、 撤 销 授权 、 授 权 委托 。 

(2) 授权 信息 目录 服务 器 : 发 布 授权 信息 。 

(3) 资源 管理 模块 : 接收 用 户 请 求 ,验证 用 户 的 数字 证 书 , 向 策略 引擎 发 出 访问 控制 
判断 请 求 ,将 访问 控制 列表 提交 给 策略 引擎 。 

(4) 策略 引擎 : 根据 资源 管理 模块 的 请 求 , 访 问 授 权 信 息 目 录 服 务 器 ,取得 用 户 的 授 
权 。 根 据 资源 的 访问 控制 列表 和 用 户 的 授权 ,做 出 访问 控制 判断 。 

(5) 密码 服务 系统 : 提供 基础 的 密码 服务 ,主要 包括 加 解密 .数字 签名 数字 信封 等 。 
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图 3-4-2 集中 式 授权 管理 体系 结构 图 


集中 式 权限 管理 服务 系统 的 主要 功能 是 : 用 户 管理 .审核 管理 ,资源 管理 .角色 管理 、 
操作 员 管 理 和 日 志 管理 。 

(1) 用 户 管理 : 提供 管理 用 户 信 息 功能 ,包括 用 户 注册 、 用 户 信息 修 改 、 用 户 注销 。 

(2) 审核 管理 : 主要 完成 用 户 授权 申请 的 审核 功能 。 

(3) 资源 管理 : 制定 资源 访问 控制 列表 , 即 根据 实际 的 应 用 ,把 资源 和 用 户 角色 关联 
起 来 ,标识 用 户 角色 对 资源 的 访问 权限 。 

(4) 角色 管理 , 包括 角色 的 制定 编辑, 更新。 根据 具体 应 用 实际 ,制定 出 恰当 的 角 
色 信息 ,以 便 和 用 户 的 实际 身份 相 上 映射。 权限 管理 中 心 制定 出 完整 的 角色 信息 ,并 把 角色 
信息 同步 到 资源 管理 中 心 。 

(5) 操作 员 管 理 : 功能 包括 增加 操作 员 注销 操作 员 操作 员 权限 设 置 、 修 改 操作 员 
权限 等 。 

(6) 日 志 管理 : 对 操作 员 的 所 有 操作 活动 等 信息 进行 日 志 记录 。 日 志 管理 的 功能 包 
括 日 志 参 数 设置 .日 志 查询 .日志 备份 。 


2 分 布 式 授权 管理 服务 系统 

分 布 式 授权 管理 服务 系统 采用 灵活 的 授权 方式 ,提供 分 布 式 管理 服务 ,通过 在 客户 端 
根据 用 户 具 体 情况 进行 个 性 化 定制 ,灵活 设置 有 效 地 授权 信息 ,由 资源 所 有 者 自行 分 配 资 
源 的 访问 权限 ,并 通过 采用 数字 签名 技术 使 授权 信息 具备 不 可 否认 性 。 

在 分 布 式 授权 管理 服务 系统 中 ,权限 同样 独立 下 载 至 用 户 公 钥 证 书 中 ,但 该 系统 与 集 
中 式 授 权 管理 服务 系统 的 不 同 点 在 于 : 以 业务 应 用 系统 划分 权限 管理 域 , 属 性 权威 (AA) 
把 用 户 权限 证 书 独立 地 下 载 于 用 户 的 公 铀 证 书 载体 上 ,由 不 同业 务 应 用 系统 分 别 签发 、 下 
载 本 系统 的 权限 证 书 。 

该 系统 的 体系 结构 如 图 3-4-3 所 示 。 其 中 ,各 组 成 部 分 的 作用 分 别 是 : 
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图 3-4-3 分布 式 授权 管理 体系 结构 图 


(1) 客户 端 授权 模块 : 完成 用 户 对 资源 的 个 性 化 授权 并 签名 。 

(2) 应 用 资源 服务 器 : 接收 访问 请 求 , 并 向 授权 管理 服务 器 发 出 访问 授权 请 求 。 

(3) 授权 管理 服务 器 : 存储 资源 的 授权 信息 ,接收 应 用 资源 服务 器 的 请 求 ,根据 资源 
的 访问 授权 ,计算 访问 权限 值 并 将 该 值 返回 给 应 用 资源 服务 器 ,同时 提供 相应 的 资源 管理 
功能 。 

(4) 密码 服务 系统 : 提供 基础 的 密码 服务 ,主要 包括 加 解密 数字 签名 .数字 信封 等 。 

分 布 式 授权 管理 服务 系统 的 主要 功能 是 : 资源 访问 授权 、 操 作 员 管 理 、 权 限 管理 ,日 


志 管 理 。 

(1) 资源 访问 授权 : 根据 用 户 的 资源 授权 信息 等 数据 制定 访问 授权 列表 ,并 完成 用 
户 对 列表 的 签名 。 

(2) 操作 员 管 理 : 功能 包括 增加 操作 员 、 注 销 操 作 员 、 操 作 员 权 限 设置 ,修改 操作 员 
权限 等 。 


(3) 权限 管理 : 包括 授权 更 改 和 授权 删除 。 授 权 更 改 完成 对 用 户 制定 的 授权 信息 列 
表 修 改 功能 ;授权 删除 完成 对 授权 信息 进行 删除 的 功能 。 

(4) 日 志 管理 : 对 操作 员 的 所 有 操作 活动 的 时 间 、 事 件 等 信息 进行 日 志 记 录 。 日 志 
管理 的 功能 包括 : 日 志 参 数 设置 .日志 查询 .日 志 备份 。 

例如 , 汉 邦 安全 授权 管理 系统 就 采用 了 分 布 式 架构 ,通过 引进 协同 机 制 对 网 络 系统 中 
的 主机 、 服 务 器 、 网 络 进行 分 级 和 全 方位 的 授权 管理 ,从 而 实现 了 对 网 络 资源 、 信 息 资 源 进 
行 全 方位 的 管理 和 维护 ,并 实现 了 对 重要 数据 的 保护 、 对 用 户 行为 授权 ,以 及 对 网 络 设备 、 
网 络 性 能 ,故障 等 进行 分 析 、 审 计 等 管理 工作 。 


344 性 能 指标 


一 般 地 ,就 性 能 指标 而 言 ,授权 管理 基础 设施 对 应 用 层 的 服务 器 端 和 客户 端的 密码 设 
备 的 性 能 指标 不 同 。 其 中 ,应 用 层 的 服务 器 端 密码 设备 应 达到 如 下 性 能 指标 ， 
(1) 公 钥 密码 算法 签名 速度 之 2000 次 /s。 
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(2) 公 钥 密码 算法 验证 速度 宇 16 000 次 /s。 

(3) 对 称 密码 算法 加 解密 速度 宇 500Mb/s。 

(4) 可 存储 的 密 钥 对 之 64 对 。 

应 用 层 的 客户 端 密码 设备 应 达到 如 下 性 能 指标 : 
(1) 公 钥 密码 算法 签名 速度 过 2 次 /s。 

(2) 公 钥 密码 算法 验证 速度 之 16 次 /s。 

(3) 对 称 密码 算法 加 解密 速度 宇 100Kb/s。 


35 ” 容 灾 备份 与 故障 恢复 技术 


351 作用 
容 灾 备份 包括 系统 备份 和 数据 备份 。 容 灾 备 份 通常 采取 本 地 备份 和 异地 备份 这 两 种 


方式 实现 。 容 灾 备份 与 故障 恢复 技术 的 目标 是 : 确保 应 用 系统 、 关 键 数 据 具 有 很 强 的 稳 
定性 与 可 靠 性 。 在 灾难 或 故障 发 生 后 ,仍然 能 够 维持 正常 运行 或 及 时 恢复 ,确保 系统 或 关 
键 数 据 的 可 用 性 。 


352 体系 结构 
为 了 应 对 各 种 可 能 出 现 的 灾难 和 故障 , 容 灾 备 份 和 故障 恢复 系统 必须 依据 安全 策略 ， 


采取 多 种 措施 相 结 合 。 


(1) 本 地 备份 : 本 地 系统 关键 设备 的 双 机 热 备份 ,本 地 系统 关键 数据 的 冷 备份 。 

(2) 异地 备份 : 异地 备份 中 心 。 

(3) 系统 恢复 。 

(4) 数据 恢复 。 

容 灾 备份 与 故障 恢复 系统 的 体系 结构 如 图 3-5-1 所 示 。 

其 运作 过 程 如 下 : 

(1) 正常 情况 下 ,业务 处 理 只 在 主 中 心 运行 ;业务 系统 对 数据 的 任何 修改 ,实时 同步 


地 复制 到 备份 中 心 。 


(2) 当主 中 心 的 某 些 子 系统 发 生 故 障 时 ,系统 会 自动 地 快速 切换 到 主 中 心 的 其 他 设 


备 , 确 保 系 统 正常 运行 。 


(3) 当 灾 难 发 生 ,导致 主 中 心 整个 系统 次 痪 时 ,能 实时 监测 到 这 种 异常 情况 ,及 时 向 


管理 员 发 送 各 种 警报 ,并 按照 预定 的 规则 在 备份 中 心 启动 整个 业务 应 用 系统 。 


论 


本 地 集群 远程 集群 
主 中 心 备份 中 心 
图 3-5-1 容 灾 备份 与 故障 恢复 系统 体系 结构 图 


(4) 主 中 心 系统 修复 后 ,可 将 备份 中 心 的 当前 数据 复制 回 主 中 心 , 然 后 将 业务 处 理 从 
备份 中 心切 换 回 主 中 心 , 备 份 中 心 重新 回 到 备份 状态 。 


353 容 灾 备份 的 策略 


制定 具体 的 备份 策略 需 根据 各 种 应 用 和 业务 处 理 的 特点 ,并 遵循 以 下 原则 : 

(1) 对 所 有 关键 的 应 用 ,应 至 少 保证 各 种 必要 的 热 备 份 机 制 ,包括 双 机 热 备 、 磁 盘 镜 
像 等 。 

(2) 对 于 所 有 应 用 ,应 提供 磁带 备份 和 恢复 机 制 , 保 证 系统 能 根据 备份 策略 恢复 至 指 
定时 间 的 状态 。 

(3) 对 于 操作 系统 和 应 用 程序 代码 ,在 每 次 系统 更 新 或 安装 新 软件 和 做 一 次 全 备份 。 
对 于 一 些 日 常数 据 更 新 量 大 ,但 总 体 数据 量 不 是 非常 大 的 关键 应 用 数据 ,可 每 天 在 用 户 使 
用 量 较 小 的 时 候 安排 全 备份 。 对 于 日 常 更 新 量 相对 于 总 体 数据 量 较 小 ,而 总 体 数据 量 非 
常 大 的 关键 应 用 数据 ,可 每 隔 一 个 月 或 一 周 安排 一 次 全 备份 ,在 此 基础 上 ,每 隔 一 个 较 短 
的 时 间 间 隔 做 增 量 备份 。 

(4) 对 一 些 关键 数据 ,预先 定义 备份 窗口 大 小 ,再 根据 备份 数据 量 计算 所 需 的 备份 速度 。 

(5) 保存 有 过 时 数据 的 介质 可 重新 覆盖 使 用 ,轮换 频率 可 根据 备份 类 型 和 备份 的 要 

(6) 根据 介质 容量 .全 备份 . 增 量 备 份 和 每 种 介质 的 保留 时 间或 轮换 频率 计算 出 所 需 
的 介质 数目 。 

(7) 备份 好 的 介质 ,要 放 到 保险 柜 或 运输 到 备份 中 心 统一 保存 。 为 了 更 好 地 管理 介 
质 ,对 所 有 磁带 需 按 统一 的 规则 来 命名 。 
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354 本 地 备份 


本 地 备份 包括 系统 备份 和 数据 备份 。 系 统 备份 包括 设备 硬件 备用 和 软件 备份 。 

在 设备 的 使 用 过 程 中 ,由 于 不 可 抗力 和 硬件 设备 本 身 的 使 用 寿命 有 限 , 设 备 难免 会 发 
生 故 障 或 损坏 。 为 了 及 时 应 对 这 类 故障 ,必须 依据 具体 的 应 用 需求 建立 一 套 硬件 设备 备 
用 机 制 。 

此 外 ,可 以 利用 有 关 软 件 将 整个 硬盘 备份 成 一 个 镜像 ,在 系统 被 严重 破坏 时 ,就 可 以 
很 快 把 资料 完全 复原 。 因 此 ,可 以 将 刚 安装 好 应 用 程序 的 系统 做 一 个 备份 的 映像 ,以 后 安 
装 系统 只 要 极 短 时 间 就 可 以 完成 ,达到 快速 恢复 系统 的 目的 。 

数据 备份 是 确保 重要 数据 不 丢失 和 具有 抗 毁 性 的 最 主要 措施 。 数 据 备份 的 目的 是 ， 

(1) 对 网 络 内 部 的 重要 业务 资料 进行 自动 化 存储 管理 。 

(2) 简化 备份 复杂 性 ,节省 人 力 资源 ,提高 工作 效率 。 

(3) 确保 数据 存放 安全 ,并 有 效 集中 管理 。 

(4) 避免 人 为 错误 及 自然 灾害 的 破坏 ,提高 数据 资料 的 正确 性 。 

(5) 缩短 备份 /恢复 工作 的 时 间 。 

(6) 协助 实现 异地 备份 /恢复 、 系 统 灾难 恢复 。 

数据 备份 有 三 种 类 型 ; 

(1) 完全 备份 : 定期 对 系统 中 每 个 数据 库 文件 制作 备份 。 

(2) 特别 备份 : 在 系统 进行 大 的 改动 后 进行 的 备份 。 

(3) 增 量 备份 : 在 系统 的 日 常 应 用 中 ,只 对 系统 新 增 数 据 进行 备份 , 即 只 备份 上 次 全 
盘 备 份 之 后 更 改过 的 所 有 文件 。 

数据 备份 的 实现 方式 主要 有 以 下 三 种 ,可 以 根据 具体 业务 的 应 用 情况 进行 选择 。 

1) 磁盘 阵列 

在 磁盘 阵列 上 以 容错 机 制 对 数据 进行 镜像 保存 。 当 镜像 硬盘 发 生 故 障 时 ,管理 员 应 
该 能 够 在 不 中 断 数 据 访问 的 前 提 下 ,以 在 线 方式 更 换 磁 盘 硬 件 。 随 着 系统 应 用 的 演进 和 
数据 量 增长 的 需要 ,如 果 在 现 有 盘 阵 的 基础 上 增加 新 的 硬盘 或 阵列 ,同样 应 该 能 够 以 在 线 
方式 完成 对 文件 系统 的 容量 调整 和 性 能 调整 。 

2) 磁 ( 光 ) 介 质 备 份 /恢复 系统 

磁 ( 光 ) 介 质 备 份 是 指 用 磁带 (或 可 刻写 光盘 ) 对 数据 资料 进行 可 靠 的 备份 。 一 般 地 ， 
这 种 备份 是 对 所 有 的 数据 进行 集中 式 的 定期 备份 。 备 份 应 该 一 个 全 自动 化 进行 的 过 程 ， 
并 且 可 以 选择 通过 自动 化 的 硬件 (如 带 机 械 手 的 磁带 库 ) 来 完成 。 对 于 备份 软件 而 言 ,应 
在 识别 数据 库 的 数据 结构 的 基础 上 ,避免 不 必要 的 人 工 干 预 ( 如 export 形成 中 间 文 件 
等 ) ,直接 对 数据 库 数据 进行 备份 。 此 外 ,针对 不 同时 期 的 数据 内 容 变 化 ,可 以 采用 增 量 备 
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份 的 办 法 实现 。 

3) 本 地 双 机 热 备份 系统 

即使 用 容错 方式 保证 了 磁盘 阵列 系统 的 高 可 用 人 性 ,主机 系统 的 可 靠 性 仍 不 容 忽视 。 
为 了 避免 主机 系统 中 存在 单 点 故障 ,需要 用 两 台 主 机 形成 集群 环境 ,保证 其 高 可 靠 性 。 支 
持 集群 环境 的 软件 应 该 能 够 识别 单一 的 主机 故障 ,并 能 够 在 极 短 的 时 间 内 将 故障 主机 上 
运行 的 应 用 程序 以 及 数据 库 切换 到 备用 主机 上 。 同 时 ,集群 软件 应 该 能 够 将 故障 主机 的 
IP 服务 地 址 迁移 到 备用 主机 ,以 便 所 有 的 客户 机 能 够 继续 使 用 原来 的 IP 地 址 对 数据 库 
进行 访问 。 

数据 备份 系统 应 该 具备 两 个 特点 。 首 先 ,该 系统 应 该 在 灾难 发 生 情况 下 进行 快速 可 
靠 的 数据 恢复 操作 , 尽 可 能 地 减少 管理 和 人 员 成 本 、 提 高 效率 。 其 次 ,该 系统 应 该 具有 很 
好 的 伸缩 性 ,能 够 在 不 断 更 新 系统 数据 的 过 程 中 进行 方便 、 高 效 、 可 靠 的 扩展 。 


355 异地 备份 


异地 备份 的 主要 实现 方式 是 设立 异地 备份 中 心 。 该 中 心 不 仅 要 实现 本 地 的 切换 保护 
外 ,更 要 实现 数据 的 实时 异地 复制 ,以 及 业务 系统 (包括 数据 库 和 应 用 软件 ) 的 实时 远程 
切换 。 

例如 ,一 般 的 电子 政务 应 用 为 了 对 重要 数据 进行 安全 备份 ,需要 在 部 ,省 两 级 建立 数 
据 备份 中 心 。 部 级 数据 备份 中 心 应 在 适当 的 地 域 建设 灾难 备份 中 心 。 有 条 件 的 省 份 也 应 
在 省 内 建设 相应 的 灾难 备份 中 心 。 同 时 ,有 条 件 的 省 份 还 必须 建立 数据 备份 中 心 ,集中 备 
份 全 省 范围 内 的 数据 。 那 些 没有 条 件 建立 集中 的 数据 备份 中 心 的 省 份 ,可 将 数据 分 散在 
省 内 存放 ,同时 尽 可 能 地 将 数据 集中 地 备份 到 部 级 备份 中 心 。 

异地 备份 中 心 的 建立 需要 满足 的 要 求 主要 有 : 

(1) 备份 中 心 与 主 中 心 之 间 的 距离 不 小 于 500km。 

(2) 备份 中 心 具备 足够 的 网 络 带宽 ,以 便 确 保 与 主 中 心 的 数据 保持 同步 。 

(3) 备份 中 心 要 有 足够 的 处 理 能 力 ,以 便 成 功 接管 主 中 心 的 业务 。 

(4) 备份 中 心 与 主 中 心 的 应 用 切换 必须 快速 可 靠 。 


356 恢复 


为 保证 应 用 系统 具有 最 高 程度 的 可 靠 性 ,必须 建立 故障 恢复 系统 ,包括 系统 恢复 和 数 
据 恢复 。 此 外 ,在 必要 的 情况 下 ,还 应 该 通过 高 速 的 网 络 专线 实现 对 信息 网 络 中 心 数据 的 
远程 复制 , 即 建立 远程 灾难 恢复 系统 。 这 样 ,当主 系统 不 能 正常 运转 时 ,恢复 系统 的 远程 
监控 软件 能 够 及 时 识别 故障 情况 ,并 且 能 够 根据 不 同业 务 的 特点 ,自动 地 将 故障 系统 上 的 
数据 库 业 务 转移 到 备份 系统 环境 中 正常 运行 。 
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故障 恢复 包括 系统 恢复 和 数据 恢复 。 

对 关键 应 用 系统 ,必须 能 够 有 效 规避 任何 单 点 故障 ,以 便 确 保 在 发 生 上 述 故 障 的 情况 
下 系统 依然 能 够 正常 运转 。 这 些 故 障 包括 : 应 用 程序 错误 ,数据库 系统 故障 、 网 络 端口 故 
障 、 网 线 接 入 故障 \ 磁 盘 系 统 介 质 故 障 、 系 统 瘫痪 等 。 

系统 恢复 的 措施 主要 有 : 

(1) 群集 配置 : 由 多 台 计 算 机 组 成 集群 结构 , 尽 可 能 消除 整个 系统 可 能 存在 的 单 点 
故障 。 

(2) 双 机 热 备份 : 在 任何 一 台 设 备 失效 的 情况 下 ,按照 预先 定义 的 规则 快速 切换 至 
相应 的 备份 设备 ,维持 业务 的 正常 运行 。 

(3) 磁盘 镜像 : 部 署 两 台 服务 器 ,通过 光纤 连接 其 共享 的 磁盘 阵列 ,实现 主机 系统 到 
磁盘 系统 的 高 速 连接 。 

(4) 故障 恢复 管理 : 由 专门 的 集群 软件 进行 管理 和 监控 ,使 应 用 系统 在 任何 软 硬 件 
组 成 单元 发 生 故 障 时 ,能 够 根据 故障 情况 重新 分 配 任务 。 

数据 恢复 需要 考虑 的 两 个 关键 因素 是 数据 恢复 的 过 程 和 数据 恢复 所 需 的 成 本 。 

数据 恢复 过 程 涉 及 参与 人 员 ,管理 制度 和 操作 规程 。 它 们 的 具体 内 容 需 要 依据 应 用 
需求 来 确定 。 其 中 ,参与 人 员 通 常 是 评估 经 理 、 系 统 集成 项 目 经 理 \ 安 全 设计 师 .安全 顾问 
和 客户 服务 工程 师 。 

数据 恢复 所 需 的 成 本 主要 和 进行 数据 恢复 操作 的 时 间 代价 与 空间 代价 有 关 。 

在 时 间 代价 方面 ,一 般 地 ,目录 数据 恢复 和 普通 数据 恢复 需要 的 时 间 不 同 。 对 于 复制 
目录 而 言 ,其 成 本 与 操作 方式 直接 相关 。 可 以 从 备份 介质 中 对 目录 数据 实现 冷 恢复 。 空 
间 代 价 主 要 与 需要 恢复 的 数据 量 有 关 。 
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361 防范 策略 


由 于 近年 来 恶意 代码 破坏 性 不 断 增加 ,危害 性 大 ,影响 范围 广 , 以 及 病毒 .蠕虫 .黑客 
程序 等 恶意 代码 又 有 相互 融合 的 趋势 ,病毒 防治 已 经 不 是 一 项 简单 的 任务 ,而 是 需要 依据 
整个 网 络 的 体系 结构 来 制定 相应 的 解决 方案 。 一 般 地 ,建议 采用 集中 控制 .分 级 管理 、 多 
层 防护 的 体系 结构 ,为 应 用 系统 提供 统一 的 病毒 防护 和 监控 服务 。 这 样 ,不 仅 可 以 减轻 管 
理 员 的 工作 负担 ,还 可 以 确保 广域网 中 每 一 台 计 算 机 (包括 服务 器 和 客户 端 ) 具 有 相同 的 
防 病毒 能 力 。 由 于 计算 机 病毒 在 恶意 代码 中 最 为 传统 ,截至 目前 ,很 多 恶意 代码 防范 技术 
76 


EGG 3.6 恶意 代码 防范 技术 mm 


以 及 相关 产品 仍然 被 称 为 * 防 病毒 技术 ”“ 防 病毒 软件 ”。 但 事实 上 ,他 们 的 外 涵 已 经 涉及 
了 蠕虫 .黑客 程序 等 更 多 种 类 的 恶意 代码 。 因 此 ,本 书 也 将 恶意 代码 简称 “病毒 ”。 

集中 控制 .分 级 管理 ,多 层 防护 的 具体 含义 分 别 是 : 

集中 控制 : 指 各 级 管理 中 心 负责 本 级 系统 的 防 病 毒 工作 ,以 各 级 管理 中 心 为 防 病毒 
控 管 中 心 ,对 本 级 系统 各 个 部 分 进行 集中 控制 ,实时 监测 全 网 内 的 病毒 情况 。 

在 全 网 范围 内 ,各 级 系统 实施 统一 的 防 病毒 策略 (包括 同时 更 新 病毒 定义 码 和 扫描 引 
区 ,根据 实际 情况 及 时 调整 防 病毒 策略 和 力度 等 )。 

分 级 管理 : 指 各 级 管理 中 心 负责 管理 所 辖区 域内 的 病毒 防治 工作 ,并 定期 向 上 级 管 
理 中 心 汇报 。 

多 层 防 护 : 指 各 级 防 病 毒 管理 中 心 从 网 关 、 服 务 器 到 客户 端 层 层 设防 ,防止 病毒 的 传 
播 和 扩散 。 

一 般 地 ,可 以 从 以 下 三 个 层次 实施 恶意 代码 防范 : 

1) 网 络 边 界 防护 

在 网 络 边界 (例如 网 关 ) 处 进行 病毒 过 滤 和 防护 。 这 是 阻止 病毒 人 侵 网 络 的 最 有 效 措 
施 之 一 。 因 为 病毒 主要 是 通过 SMTP、HTTP 、FTP 三 个 协议 通道 进行 人 侵 ,需要 针对 这 
三 个 协议 进行 内 容 扫描 和 杀毒 。 

2) 集群 服务 器 /邮件 系统 防护 

集群 服务 器 是 办 公 的 基本 平台 ,很 容易 成 为 病毒 的 集中 地 。 目 前 ,市 场 上 主要 的 集群 
服务 器 是 Lotus Domino/Notes 和 Microsoft Exchange。 由 于 集群 服务 器 往往 采用 特有 
的 内 部 协议 进行 工作 ,需要 使 用 针对 每 种 系统 对 应 的 防毒 软件 ,帮助 实现 对 整个 集群 系统 
的 全 面 保护 。 

3) 主机 病毒 防护 

在 各 个 主机 系统 上 安装 防 病毒 软件 并 定期 升级 。 

此 外 ,必须 通过 以 下 方式 对 应 用 系统 病毒 定义 码 和 扫描 引擎 进行 更 新 、 升 级 : 

(1) 对 各 级 管理 中 心 防 病毒 服务 器 ,采用 升级 工具 与 生产 厂商 病毒 库 连接 ,对 病毒 定 
义 码 和 扫描 引擎 进行 更 新 .升级 ,然后 再 将 其 分 发 给 各 自 的 下 属 部 门 。 

(2) 由 管理 网 络 中 心 统 一 更 新 .升级 病毒 定义 码 和 扫描 引擎 ,各 子 系统 要 到 相应 的 上 
级 管理 中 心 进行 升级 工作 。 这 样 ,一 方面 可 以 确保 同 级 系统 病毒 定义 码 和 扫描 引擎 的 更 
新 基本 保持 同步 ,支持 整个 系统 具有 很 强 的 防 病毒 能 力 。 另 一 方面 ,整个 网 络 的 病毒 定义 
码 和 扫描 引擎 的 更 新 .升级 自动 完成 ,可 避免 由 于 人 为 因素 造成 网 络 中 某 些 机 器 或 某 个 网 
络 因为 没有 及 时 更 新 病毒 定义 码 和 扫描 引擎 而 失去 病毒 防护 能 力 。 
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362 功能 要 求 
本 节 主要 介绍 病毒 查 杀 、 网 关 防 毒 系统 、 群 件 防毒 系统 和 集中 管理 系统 的 基本 功能 


要 求 。 


1 病毒 查 杀 系 统 

病毒 查 杀 的 基本 功能 要 求 是 : 

(1) 实时 病毒 查 杀 的 能 力 。 

(2) 对 已 知 病毒 完整 的 查 杀 能 力 。 

(3) 对 未 知 病毒 强大 的 清查 预警 能 力 。 

(4) 在 网 络 的 各 个 结 点 处 ,如 网 关 、 群 件 系统 .服务 器 和 个 人 机 上 ,都 能 提供 相应 的 病 


毒 查 杀 能 力 。 


(5) 对 受 感染 的 系统 能 够 提供 病毒 清除 和 系统 恢复 能 力 。 
(6) 防 病毒 产品 应 通过 指定 机 构 的 权威 检测 认证 ,并 获得 销售 许可 证 。 


2 网 关 防 毒 系统 

网 关 防 毒 系统 的 基本 功能 要 求 是 ， 

1) 高 度 的 稳定 性 

在 网 关 处 的 防毒 系统 需要 高 度 的 稳定 性 。 产 品 应 提供 24 小 时 不 间断 运行 的 能 力 ,以 


保证 整个 网 络 的 出 口 不 受 影响 。 


2) 灵活 的 部 署 方式 和 能 力 
网 关 防 毒 系统 能 够 支持 各 类 复杂 的 网 关 环境 和 平台 ,能 够 与 诸如 防火 墙 、 代 理 服务 


器 .邮件 网 关 等 设备 的 协作 能 力 。 


3) 附带 内 容 过 滤 和 紧急 处 理 能 力 
网 关 的 紧急 处 理 能 力 是 指使 用 内 容 过 滤 技术 ,在 从 病毒 出 现 到 防毒 厂商 送出 新 的 病 


毒 码 这 段 “ 空 窗 期 "内 ,对 可 疑 内 容 实行 紧急 隔离 措施 ,以 保证 整个 网 络 在 第 一 时 间 将 新 病 
毒 拒 之 门 外 , 或 是 抵御 DDOS 攻击 。 


4) 可 扩展 性 和 可 管理 性 
防毒 系统 应 该 随 硬件 平台 的 升级 而 动态 扩展 自身 的 处 理 能 力 , 还 应 能 支持 诸如 负载 


均衡 和 群集 的 能 力 , 具 有 良好 的 可 扩展 性 。 
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5) 管理 界面 

应 支持 目前 普遍 的 Web 应 用 方式 ,方便 和 简化 管理 员 的 操作 。 

6) 其 他 

对 于 病毒 查 杀 情况 ,应 有 完整 的 日 志 记 录 , 以 及 可 选 的 各 类 通告 或 报警 机 制 。 此 外 ， 
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由 于 SMTP 和 HTTP 协议 传输 内 嵌 可 执行 内 容 , 经 常 造成 用 户 在 接收 到 信息 的 同时 遗 
到 病毒 的 入侵 和 感染 ,部 署 网 关 防毒 系统 时 需要 重点 考虑 保护 SMTP 和 HTTP 协议 传 
输 内 容 。 相 对 地 ,因为 通过 FTP 传输 的 内 容 则 完全 由 用 户 控 制 其 后 续 动作 ,客户 端的 防 
毒 系统 很 容易 检查 出 此 类 病毒 ,这 类 内 容 通 常 不 是 网 关 防 毒 系统 关注 的 重点 。 


3 群 件 防毒 系统 

群 件 防毒 系统 的 基本 功能 要 求 是 : 

1) 稳定 性 

群 件 系统 作为 业务 应 用 (尤其 是 办 公 自 动 化 应 用 ) 的 核心 系统 ,其 不 间断 运行 能 力 至 
关 重 要 ,要求 相配 套 的 防毒 系统 应 具有 极 强 的 稳定 性 。 

2) 占用 较 低 的 系统 资源 

一 般 地 , 群 件 防毒 系统 直接 安装 在 集群 服务 器 上 ,需要 避免 在 防毒 的 同时 过 多 地 占用 
系统 资源 ,否则 可 能 会 导致 群 件 服务 本 身 无 法 正常 或 良好 地 运转 。 

3) 具备 内 容 过 滤 和 紧急 处 理 能 力 

类 似 于 起 到 网 关 的 紧急 处 理 作 用 。 如 果 群 件 防毒 系统 有 类 似 这 样 的 模块 ,可 以 在 第 
一 时 间 阻 止 来 自 内 外 网 的 新 病毒 人 侵 和 DDOS 攻击 ,从 而 保护 群 件 服务 器 的 正常 运作 。 

4) 完整 的 保护 

防毒 系统 应 该 针对 集群 服务 器 的 特点 ,提供 从 邮件 传输 ,文件 及 数据 库 共享 .数据 复 
制 等 各 个 过 程 的 实时 保护 功能 ,确保 整个 系统 的 安全 性 。 

部 署 前 应 检查 服务 器 自身 系统 资源 的 使 用 情况 ,必要 时 需 对 各 部 分 的 资源 配置 进行 
扩展 。 

4 集中 管理 系统 

集中 管理 系统 的 基本 功能 要 求 是 : 

1) 全 面 的 集中 管理 和 监控 功能 

该 系统 应 能 对 从 网 关 到 客户 端的 各 个 防毒 系统 结 点 进行 统一 的 管理 和 监控 ,从 而 让 
管理 人 员 真 正 做 到 对 整个 网 络 内 防毒 系统 的 单 点 监控 。 

2) 单 点 下 载 ,自动 更 新 部 署 功能 

该 系统 应 该 能 够 在 管理 系统 的 单 点 上 更 新 最 新 的 病毒 码 、 杀 毒 引擎 ,甚至 是 程序 的 更 
新 版 本 ,然后 将 其 自动 部 署 到 网 内 所 有 的 防毒 系统 上 。 

3) 集中 的 日 志和 报警 功能 

集中 的 日 志 为 监控 和 跟踪 整个 网 络 的 病毒 情况 提供 了 有 效 地 途径 。 集 中 的 报警 功能 
对 分 次 发 现 的 大 量 病 毒 报告 进行 过 滤 ,只 在 某 段 时 间 内 病毒 出 现 达 到 一 定数 量 时 才 报 警 ， 
帮助 管理 员 对 病毒 爆发 的 情况 做 出 反应 。 
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371 作用 


1980 年 , James Anderson 首先 提出 了 入 侵 检 测 的 概念 ,将 入 侵 尝 试 (intrusion 
attempt) 或 威胁 (threat) 定 义 为 : 潜在 的 有 预谋 未 经 授权 访问 信息 、 操 作 信息 、 致 使 系统 
不 可 靠 或 无 法 使 用 的 企图 。 他 还 提出 审计 追踪 可 应 用 于 监视 入 侵 威 胁 。1987 年 ， 
Dorothy Denning 提出 入 侵 检测 系统 的 抽象 模型 ,首次 将 入 侵 检测 的 概念 作为 一 种 计算 
机 系统 安全 防御 问题 的 措施 提出 ,与 传统 加 密 和 访问 控制 的 常用 方法 相 比 ,入 侵 检 测 方法 
成 为 全 新 的 计算 机 安全 措施 。 

在 此 以 后 随 着 计算 机 网 络 的 发 展 ,以 及 大 规模 网 络 安 全 事件 的 爆发 ,入 侵 检测 技术 作 
为 信息 安全 中 重要 的 组 成 部 分 得 到 很 大 的 发 展 ,相继 出 现 了 一 系列 系统 与 模型 。 例 如 ,为 
检测 用 户 对 数据 库 的 异常 访问 在 IBM 主机 上 用 COBOL 开发 的 Discovery 系统 ;入 侵 监 
测 模型 .和信 侵 检测 专家 系统 (Intrusion Detection Expert System,IDES) .与 系统 平台 无 关 
的 实时 检测 思想 .1990 年 基于 网 络 的 人 侵 检 测 一 一 NSM(Network Security Monitor) 的 
出 现 , 以 及 后 来 的 分 布 式 \ 协 同 处 理 入 侵 检 测 技术 的 发 展 ;近年 来 将 免疫 原理 和 信息 检索 
技术 引入 人 侵 检测 等 。 

入 侵 检 测 是 指 通过 从 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 对 其 进行 
分 析 , 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 攻击 的 迹象 ,同时 做 出 
响应 。 

人 入侵 检测 系统 (Intrusion Detection System,IDS) 是 实现 入 侵 检测 功能 的 一 系列 的 软 
件 、 硬 件 的 组 合 。 入 侵 检测 系统 以 实时 方式 监测 网 络 通信 ,对 其 进行 分 析 并 且 进行 实时 的 
安全 预警 ,从 而 能 够 有 效 地 管理 内 部 工作 人 员 安 全 地 使 用 内 部 资源 ,并 对 外 部 的 攻击 进行 
早期 预警 和 跟踪 ,有 效 地 保障 系统 安全 。 因 此 , 需 有 专用 的 入 侵 检测 设备 或 入 侵 检测 软件 
进行 监测 ,及 时 采取 相应 的 安全 措施 遏制 人 侵 行为 。 

入 侵 检测 的 主要 功能 有 : 监测 分 析 用 户 和 系统 行为 .审计 检查 系统 配置 和 漏洞 .重要 
系统 和 数据 文件 的 完整 性 评估 、 已 知 的 攻击 行为 模式 的 识别 .异常 行为 模式 的 统计 分 析 、 
操作 系统 的 审计 跟踪 管理 及 违反 安全 策略 的 用 户 行为 的 识别 .对 入侵 行为 做 出 紧急 响应 。 

通过 开发 一 些 协 议和 应 用 程序 接口 ,入 侵 检测 系统 组 件 也 可 以 被 其 他 系统 应 用 。 


372 QDF 定 义 的 入 侵 检 测 系 统 构 件 
为 了 解决 不 同人 侵 检测 系统 的 互 操作 性 和 共存 问题 ,有 学 者 提出 了 通用 入侵 检测 框 
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架 (Common Intrusion Detection Framework, CIDF), 对 入 侵 检 测 进 行 标准 化 工作 。 
CIDF 主要 是 通过 定义 数据 格式 和 数据 交换 接口 来 实现 其 目标 ,并 没有 对 IDS 的 体系 结 
构 进行 任何 约束 ,也 没有 限制 实现 所 采用 的 编程 语言 和 操作 系统 。 它 将 IDS 的 构成 划分 
为 5 类 构件 : 事件 构件 .分 析 构 件 、 数 据 库 构 件 、 响 应 构件 和 目录 服务 构件 , 如 
图 3-7-1 所 示 。 


事件 构件 响应 构件 


分 析 构 件 数据 库 构件 目录 服务 构件 


图 3-7-1 IDS 系统 构件 模型 图 


其 中 ,各 构件 的 作用 分 别 是 : 

(1) 事件 (event) 构 件 : 整个 计算 环境 中 获得 事件 ,并 向 系统 的 其 他 部 分 提供 此 事件 
具备 一 定 的 数据 过 滤 功 能 。 

(2) 分 析 (analyze) 构 件 : 分 析 事 件数 据 ,以 及 其 他 各 构件 的 数据 信息 ,根据 数据 分 析 
确定 应 该 采取 的 行动 。 

(3) 数据 库 (databases) 构 件 : 对 系统 各 个 阶段 的 数据 进行 管理 ,在 IDS 中 ,数据 量 很 
大 ,数据 的 动态 性 也 很 强 ,同时 因为 考虑 到 系统 的 处 理 层次 需要 将 数据 用 多 种 形式 缓存 ， 
所 以 必须 有 一 个 数据 库 构件 来 缓存 数据 。 

(4) 响应 (response) 构 件 : 对 分 析 结 果 做 出 反应 的 功能 单元 , 它 可 以 做 出 切断 连接 、 
改变 文件 属性 等 强烈 反应 ,也 可 以 只 是 简单 的 报警 。 

(5) 目录 服务 (directory serve) 构 件 : 它 用 于 各 构件 定位 其 他 构件 ,更 重要 的 是 控制 
其 他 构件 传递 的 数据 并 认证 其 他 构件 的 使 用 ,以 防止 IDS 本 身受 到 攻击 。 目 录 服 务 构件 
可 以 管理 和 发 布 密 钥 ,提供 构件 信息 和 告诉 用 户 构件 的 功能 接口 。 


373 分 类 


一 般 地 ,我 们 将 入 侵 检测 系统 分 为 基于 主机 的 人 侵 检测 系统 .基于 网 络 的 入 侵 检测 系 
统 和 基于 代理 (agent based) 的 入 侵 检 测 系统 。 

(1) 基于 主机 的 入侵 检测 系统 通常 以 系统 日 志 、 应 用 程序 日 志 等 审计 记录 文件 作为 
数据 源 。 它 是 通过 比较 这 些 审计 记录 文件 的 记录 与 攻击 签名 (attack signature, 指 用 一 种 
特定 的 方式 来 表示 已 知 的 攻击 模式 ) 以 发 现 它们 是 否 匹 配 。 如 果 匹 配 ,检测 系统 就 各 系统 
管理 员 发 出 入 侵 报警 并 采取 相应 的 行动 。 基 于 主机 的 IDS 可 以 精确 地 判断 入 侵 事 件 ,并 
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可 对 入 侵 事件 做 出 立即 反应 。 

(2) 基于 网 络 的 入侵 检测 系统 把 原始 的 网 络 数据 包 作为 数据 源 。 它 是 利用 网 络 适 配 
器 来 实时 地 监视 并 分 析 通 过 网 络 进行 传输 的 所 有 通信 业务 。 它 的 攻击 识别 模块 进行 攻击 
签名 识别 的 方法 有 : 模式 .表达 式 或 字 节 码 匹 配 ; 频 率 或 阔 值 比较 ;次 要 事件 的 相关 性 处 
理 ; 统 计 异 常 检测 。 一 旦 检测 到 攻击 ,IDS 的 响应 模块 通过 通知 .报警 以 及 中 断 连 接 等 方 
式 来 对 攻击 行为 做 出 反应 。 然 而 它 只 能 监视 本 网 段 的 活动 ,并 且 精 确 度 较 差 ,在 交换 网 络 
环境 中 难以 配置 , 防 欺 骗 的 能 力也 比较 差 。 网 络 入 侵 检测 系统 的 主要 功能 要 求 有 : 

。 支持 异常 检测 与 统计 检测 等 检测 方法 
检测 模块 与 特征 库 能 够 扩充 和 进行 在 线 升级 ; 
自动 识别 多 种 类 别 的 攻击 行为 ; 
能 够 支持 自 定义 策略 ; 
支持 集中 式 的 安全 监控 管理 ; 
支持 管理 ,监视 .控制 和 分 析 功 能 相 融 合 的 图 形 化 控制 台 ， 
具有 多 种 实时 报警 和 响应 手段 ,可 以 通过 网 络 , 有 线 、 无 线 等 多 种 方式 向 系统 管理 
员 发 布 报警 信息 ; 
在 日 志 中 记录 所 有 的 报警 事件 ; 

。 具有 事件 分 类 显示 功能 并 支持 组 合 搜索 分 析 。 

(3) 基于 代理 的 入 侵 检 测 系统 用 于 监视 大 型 网 络 系统 。 随 着 网 络 系统 的 复杂 化 、 攻 
击 行为 也 表现 为 相互 协作 式 特点 ,所 以 不 同 的 IDS 之 间 需 要 共享 信息 ,协同 检测 。 整 个 
系统 可 以 由 一 个 中 央 监 视 器 和 多 个 代理 组 成 。 中 央 监 视 器 负责 对 整个 监视 系统 的 管理 ， 
代理 则 被 安放 在 被 监视 的 主机 上 负责 对 其 活动 进行 监视 ,然后 将 获取 的 数据 传送 到 中 央 
监视 器 。 

另外 ,根据 采用 的 检测 方法 不 同 ,可 将 入侵 检测 技术 分 为 异常 入 侵 检测 技术 
(anomaly detection) 和 误 用 入 侵 检测 技术 (misuse detection ) 。 

(1) 异常 入侵 检测 也 称 为 基于 行为 的 检测 ,其 基本 思想 是 : 假定 所 有 的 入侵 行为 都 
是 异常 的 。 首 先 建立 系统 或 用 户 的 “正常 ”行为 特征 轮廓 ,通过 比较 当前 的 系统 或 用 户 的 行 
为 是 否 偏离 正常 的 行为 特征 轮廓 来 判断 是 否 发 生 了 入 侵 。 异 常 检测 是 一 种 间接 的 方法 。 

常用 的 具体 方法 有 : 统计 异常 检测 方法 、 基 于 特征 选择 异常 检测 方法 .基于 贝 叶 斯 推 
理 异常 检测 方法 、 基 于 贝 叶 斯 网 络 异常 检测 方法 、 基 于 模式 预测 异常 检测 方法 、 基 于 神经 
网 络 异常 检测 方法 、 基 于 机 器 学 习 异 常 检 测 方 法 、 基 于 数据 采掘 异常 检测 方法 等 。 对 这 些 
方法 而 言 , 需 要 重点 解决 的 问题 是 特征 量 的 选择 和 参考 冰 值 的 选 定 以 确保 虚 警 (false 
positives) 和 漏 警 (false negatives) 尽 量 少 发 生 。 

(2) 误 用 检测 也 称 为 基于 知识 的 检测 ,其 基本 思想 是 : 假定 所 有 可 能 的 人 侵 行 为 都 
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能 被 识别 和 表示 。 首 先 对 已 知 的 攻击 方法 进行 攻击 签名 (攻击 签名 是 指 用 一 种 特定 的 方 
式 来 表示 已 知 的 攻击 模式 ) 表 示 ,然后 根据 已 经 定义 好 的 攻击 签名 ,通过 判断 这 些 攻击 签 
名 是 否 出 现 来 判断 入 侵 行为 的 发 生 与 否 。 这 种 方法 是 直接 判断 攻击 签名 的 出 现 与 否 来 判 
断 入 侵 的 ,是 一 种 直接 的 方法 。 

常用 的 具体 方法 有 : 基于 条 件 概 率 误 用 入侵 检测 方法 、 基 于 专家 系统 误 用 入 侵 检测 
方法 、 基 于 状态 迁移 分 析 误 用 入 侵 检 测 方 法 、 基 于 键盘 监控 误 用 入 侵 检 测 方 法 、 基 于 模型 
误 用 人 侵 检 测 方法 。 对 于 这 些 方法 而 言 , 需 要 重点 解决 的 问题 是 攻击 签名 的 正确 表示 。 

通常 ,人 侵 检测 系统 中 的 入 侵 行为 分 析 模 块 应 该 具备 以 下 功能 ， 

。 支持 集中 的 攻击 特征 和 攻击 取证 数据 库 管理 ; 

。 支持 攻击 特征 信息 的 集中 式 发 布 和 攻击 取证 信息 的 分 布 式 上 载 ; 

。 提供 对 监视 引擎 和 检测 特征 的 定期 更 新 功能 ; 

。 能 够 划分 安全 等 级 ,对 网 络 系统 进行 安全 检测 和 风险 控制 ; 

。 能 够 针对 不 同 层次 的 人 员 提 供 不 同 层次 的 安全 报告 ; 

。 能 够 定期 升级 ,确保 系统 在 最 短 的 响应 时 间 内 提出 针对 新 的 攻击 和 入 侵 方法 的 防 

范 措施 。 

值得 一 提 的 是 ,IDS 已 经 逐渐 向 IPS( 入 侵 防 御 系 统 ) 过 渡 。 国 外 已 经 从 2003 年 开始 
陆续 推出 了 IPS 产品 ,而 把 IDS 功能 当 作 IPS 运行 时 可 选 的 一 种 模式 ,从 而 IPS 逐渐 替代 
了 IDS, 成 为 人 侵 检测 类 产品 的 主打 产品 。IPS 是 对 IDS 的 包容 和 覆盖 ,同时 具备 了 像 防 
火 墙 一 样 的 保护 能 力 。IPS 可 以 有 效 解决 与 防火 墙 联动 时 延 的 问题 ,减少 联动 产生 的 副 
作用 。 
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381 作用 


中 间 件 是 一 种 独立 的 系统 软件 或 服务 程序 ,位 于 客户 机 /服务 器 的 操作 系统 之 上 , 管 
理 计算 资 源 和 网 络 通信 。 分 布 式 应 用 软件 能 够 借助 中 间 件 在 不 同 的 技术 之 间 共 享 资源 。 

中 间 件 的 作用 主要 体现 在 以 下 三 方面 : 

(1) 在 分 布 式 的 客户 和 服务 之 间 扮演 着 承上启下 的 角色 ,例如 ,实现 事务 管理 、 负 载 
均衡 以 及 基于 Web 的 计算 等 。 

(2) 屏蔽 了 低层 操作 系统 的 复杂 性 ,减轻 了 应 用 软件 开发 者 的 负担 ,使 他 们 能 够 面 对 
一 个 简单 而 统一 的 开发 环境 ,利用 现 有 的 硬件 设备 、 操 作 系 统 、 网 络 数据 库 管理 系统 以 及 
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对 象 模型 ,在 创建 分 布 式 应 用 软件 时 减少 程序 设计 的 复杂 性 ,避免 了 为 程序 在 不 同系 统 软 
件 上 的 移植 而 重复 工作 。 

(3) 保护 企业 的 投资 ,保证 应 用 软件 的 相对 稳定 ,实现 应 用 软件 的 功能 扩展 。 

此 外 ,由 于 分 布 式 处 理 环境 往往 因为 采用 了 多 种 多 样 的 硬件 .软件 而 具备 相当 的 复杂 
性 ,而 中 间 件 产品 能 够 在 很 大 程度 上 降低 这 种 复杂 性 程度 ,中 间 件 正 日 益 引 起 用 户 的 
关注 。 

安全 中 间 件 作为 支撑 软件 ,与 应 用 系统 的 安全 紧密 相关 ,通常 可 以 为 应 用 与 安全 的 整 
合 提供 先进 的 平台 。 目 前 ,由 于 应 用 系统 及 其 安全 功能 的 复杂 性 ,以 及 可 持续 性 .可 扩展 
性 等 现实 要 求 ,在 体系 设计 与 应 用 开发 中 采用 中 间 件 技术 已 经 非常 普遍 。 在 关系 到 国家 
安全 的 系统 开发 与 应 用 中 ,具有 国内 自主 知识 产权 的 安全 中 间 件 产品 也 已 经 成 为 首选 。 

一 般 地 ,安全 中 间 件 具备 以 下 特点 : 

(1) 安全 性 高 : 具有 自主 知识 产权 和 完备 的 安全 构架 。 

(2) 透明 度 高 : 通过 屏蔽 复杂 的 安全 技术 ,提供 简易 的 应 用 层 接口 ,使 得 应 用 系统 开 
发 人 员 无 须 具备 专业 的 安全 知识 。 

(3) 适应 性 强 : 使 用 多 种 标准 语言 实现 ,捆绑 多 种 协议 ,支持 目前 广泛 采用 的 应 用 架 
构 .操作 系统 安全 协议 .开发 平台 。 因 此 ,可 以 适应 各 种 不 同 的 应 用 环境 。 

(4) 可 扩展 性 强 : 便于 扩展 新 模块 .捆绑 新 协议 ,而 接口 要 相对 稳定 。 

(5) 维护 量 小 : 采用 先进 的 技术 架构 ,保证 了 接口 的 稳定 性 ,系统 升级 仅 需 更 换 部 
件 ,与 安全 集成 的 工作 量 主要 集中 在 对 安全 中 间 件 的 升级 上 。 

(6) 即 插 即 用 : 支持 各 类 应 用 系统 与 符合 接口 标准 的 安全 设备 无 缝 结合 。 

安全 中 间 件 采用 层次 化 与 模块 化 的 设计 体系 ,使 应 用 与 安全 相 分 离 , 同 时 也 使 得 各 种 
安全 服务 相互 分 离 。 通 过 中 间 核 心 层 的 调度 与 管理 ,安全 中 间 件 能 够 实现 应 用 与 安全 的 
有 机 结合 ,提供 各 个 层次 满足 各 种 需求 的 安全 服务 。 

通常 ,安全 中 间 件 都 捆绑 了 各 种 通用 的 安全 协议 ,并 且 可 与 高 层 中 间 件 相 结合 提供 一 
体 化 的 安全 平台 服务 。 

在 实际 应 用 中 ,具有 自主 知识 产权 以 及 完善 的 自身 防护 功能 的 安全 中 间 件 产品 ,在 一 
定 程度 上 已 经 具有 可 信 计 算 平台 的 特点 。 此 外 ,对 于 国外 的 安全 中 间 件 产品 而 言 ,通过 将 
符合 国际 标准 的 安全 服务 模块 更 换 成 具有 我 国 自主 知识 产权 的 模块 ,可 以 在 应 用 系统 的 
设计 与 开发 中 提高 安全 性 。 


382 体系 结构 
如 图 3-8-1 所 示 , 从 体系 结构 上 看 ,安全 中 间 件 通常 由 四 层 组 成 。 
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图 3-8-1 安全 中 间 件 体系 结构 


1 安全 模块 接 入 层 

安全 模块 接 入 层 允 许 任 何 符合 安全 模块 接口 规范 并 通过 认证 的 安全 模块 接 入 。 

安全 模块 是 由 安全 服务 设备 提供 商 提 供 的 密码 服务 系统 ,如 密码 机 、 密 码 模块 .便携 
式 令 牌 等 。 安 全 模块 包括 : 认证 模块 .授权 模块 、 密 钥 管 理 模块 .密码 模块 .存储 模块 、 审 
计 模 块 安全 管理 模块 等 。 各 模块 之 间 具 有 独立 性 。 模 块 之 间 通 过 核心 层 的 调度 ,可 以 实 
现 互 操作 。 例 如 ,所 有 的 模块 必须 支持 密 钥 管理 功能 ,而 密 钥 管理 服务 由 密 钥 管理 模块 统 
一 提供 。 

安全 模块 通过 安全 模块 接口 与 中 间 件 连接 ,中 间 件 赋予 每 个 模块 一 个 “身份 "号 ,每 种 
安全 模块 接口 允许 挂 接 多 个 安全 模块 ,一 个 安全 设备 也 可 以 提供 多 种 安全 模块 接口 。 

中 间 件 支持 动态 加 载 安全 模块 ,因此 ,每 种 应 用 可 以 同时 向 不 同 用户 提 供 不 同 种 类 和 
级 别 的 安全 服务 。 

策略 的 修订 或 是 提升 安全 服务 质量 可 以 通过 简单 的 更 换 安全 模块 来 完成 ,实现 “ 即 插 
即 用 ”的 功能 。 
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这 些 模块 可 以 直接 提供 给 应 用 接口 适 配 层 ,提供 专业 化 的 安全 服务 ,是 构建 安全 保障 
体系 的 主要 平台 。 


2 核心 层 

核心 层 主 要 提供 各 个 模块 之 间 的 协调 、 保 证 自身 的 完整 性 .提供 接 人 模块 的 认证 管 
理 。 核 心 层 实现 了 中 间 件 的 主要 功能 ,是 各 个 层次 及 其 各 个 模块 协同 工作 ,并且 提供 可 信 
的 计算 平台 ,抵御 针对 中 间 件 的 攻击 ,同时 具有 可 扩展 特性 。 该 层 包括 : 

(1) 调度 模块 : 调度 模块 负责 协调 不 同安 全 模块 ,应 用 程序 的 调度 及 其 接口 管理 。 

(2) 防护 模块 : 利用 模块 认证 与 完整 性 检验 ,来 保证 自身 的 合法 性 与 完整 性 ,这 是 保 
证 中 间 件 作为 可 信 计 算 平 台 的 重要 手段 。 

(3) 功能 扩展 管理 模块 : 每 个 层次 允许 增加 新 的 模块 ,同时 ,还 要 加 入 新 的 接口 交互 
语法 目录 ,增加 模块 后 的 中 间 件 要 重新 对 其 自身 计算 新 的 摘要 和 签名 。 


3 协议 适 配 层 

协议 适 配 层 捆绑 各 种 通用 的 及 专 有 的 安全 协议 ,开发 者 无 须 再 实现 这 些 协议 。 目 前 ， 
安全 中 间 件 的 协议 适 配 层 通常 能 够 支持 IPSec、SHTTP、 TLS1. 0/SSL3. 0、S/MIME、 
WSS(XML/SOAP) 等 协议 。 开 发 者 调用 这 些 接口 时 仅 需 要 将 要 处 理 的 数据 指向 相应 入 
口 。 另 外 ,这 些 协议 并 不 是 集成 在 一 起 ,而 是 相互 独立 的 模块 ,开发 之 前 需要 选 定 一 个 或 
多 个 协议 。 如 果 不 选择 协议 ,用 户 可 以 直接 使 用 基本 的 安全 模块 提供 的 功能 。 


4 应 用 接口 适 配 层 

应 用 接口 适 配 层 为 上 层 或 应 用 程序 提供 各 种 类 型 的 调用 ,涉及 不 同 的 开发 平台 与 操 
作 系统 ,通常 提供 标准 Java、.C、C ++、C# 等 语言 接口 ;同时 还 要 提供 接口 数据 格式 的 转 
换 , 如 ASCII ,比特 流 ,字符 、 国 标 字符 等 格式 之 间 的 转换 。 它 为 上 层 提供 基本 的 安全 服务 
接口 API, 包 括 : 认证 服务 .授权 服务 、 密 钥 管理 、 密 码 服 务 .审计 服务 .安全 管理 等 API。 

应 用 适 配 接口 既 可 以 直接 提供 给 开发 人 员 使 用 ,也 可 以 向 应 用 中 间 件 层 提供 接口 。 


383 分 类 


一 般 地 ,安全 中 间 件 分 四 类 , 即 安全 服务 中 间 件 .安全 传输 中 间 件 ,安全 消息 中 间 件 和 
安全 Web 服务 中 间 件 。 


1 安全 服务 中 间 件 

基本 安全 服务 中 间 件 为 应 用 系统 开发 商 提供 专业 化 的 安全 服务 接口 ,包括 : 认证 服 
务 、 授 权 服务 、 密 钥 管 理 、 密 码 服务 .审计 服务 .安全 管理 等 API。 它 通常 具有 以 下 类 型 的 
接口 : 
86 


Eg 3.8 安全 接口 与 中 间 件 技术 msm 


(1) 认证 服务 接口 : 配合 其 他 模块 共同 提供 公 钥 证 书生 成 签发, 注册、 验证 服务 , 负 
责 证 书库 的 维护 和 证 书 撤销 列表 的 管理 ,以 及 信任 模型 的 建立 和 可 信 时 间 戳 服务 ,同时 也 
包括 传统 的 对 称 密 钥 认证 服务 。 

(2) 授权 服务 接口 : 提供 针对 资源 的 授权 管理 和 访问 控制 服务 ,包括 基于 PMI 的 授 
权 服 务 以 及 传统 的 对 称 密 钥 授权 服务 ;提供 基于 LDAP 数据 库存 储 策 略 库 、 属 性 库 的 访 
问 接口 。 

(3) 密码 服务 接口 : 提供 各 种 基本 的 密码 运算 ,包括 加 解密 ,数字 签 名 、 完 整 性 验证 
运算 等 ;主要 直接 面向 其 他 模块 提供 密码 服务 ,也 可 以 对 应 用 程序 提供 专业 化 的 密码 
服务 。 

(4) 密 钥 管理 接口 : 提供 密 钥 的 产生 、 存 储 、 备 份 .下 发 归档、 销毁 等 功能 的 接口 ,以 
及 密 钥 管 理 策略 的 选择 ; 主要 直接 面向 其 他 模块 提供 密 钥 管理 服务 。 

(5) 审计 服务 接口 : 提供 审计 信息 的 输入 、 分 析 结果 的 输出 .审计 数据 库 的 管理 接 
口 .审计 策略 的 设置 接口 等 。 

(6) 安全 管理 接口 : 为 其 他 安全 模块 提供 统一 的 安全 管理 接口 。 


2 安全 传输 中 间 件 

安全 传输 中 间 件 是 在 基本 安全 服务 中 间 件 的 基础 上 ,捆绑 安全 传输 协议 ,提供 安全 的 
传输 通道 保护 ,可 以 应 用 于 IP、Socket、IIOP、FTP、TELNET 等 协议 的 保护 ,用 于 应 用 网 
关 、VPN 等 设备 。 

这 些 捆绑 的 安全 协议 主要 有 : IPSec、TLS。 另 外 还 提供 对 其 他 一 些 安全 传输 协议 的 
支持 及 用 户 订 制 协议 的 加 载 。 

主要 应 用 在 VPN 及 加 密 防 火 墙 等 做 入 式 系统 .应 用 网 关 或 代理 服务 器 .安全 电子 邮 
件 . 原 有 的 基于 文件 交换 的 消息 中 间 件 。 提 供 安 全 的 信息 或 文件 传输 通道 。 


3 安全 消息 中 间 件 

安全 消息 中 间 件 用 于 应 用 程序 之 间 的 信息 交互 ,有 多 种 形式 ,其 中 传输 消息 应 用 最 广 
的 格式 有 以 下 几 类 : XML 文件 .SMTP/MIME 邮件 消息 等 。 

(1) 基于 XML 及 XML 文件 的 安全 消息 中 间 件 利用 标准 的 SOAP 实现 安全 服务 函 
数 的 远程 调用 ,提供 符合 国际 标准 的 安全 协议 或 者 提供 定制 的 专 有 协议 ,由 于 其 具有 良好 
的 互 操作 性 及 可 扩展 能 力 , 具 有 广泛 的 应 用 前 景 。 

(2) 基于 SMTP/MIME 邮件 传输 的 安全 消息 中 间 件 采用 标准 的 S/MIME 安全 协 
议 ,属于 存储 转发 类 型 的 消息 中 间 件 。 

(3) 基于 JMS 消息 传送 的 安全 中 间 件 ,广泛 使 用 于 J2EE 平台 。 

安全 消息 中 间 件 为 各 类 应 用 程序 消息 传递 (消息 .邮件 .文件 ) 提 供 端 到 端 细 粒度 的 安 
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全 保护 。 


4 安全 Web 服 务 中 间 件 

安全 Web 服务 中 间 件 主要 用 于 同一 应 用 系统 内 部 或 不 同 应 用 系统 之 间 的 安全 交换 
及 安全 Web 服务 。 它 融合 了 J2EE .CORBA、NET 以 及 Web 服务 等 主流 分 布 式 平台 技 
术 , 支 持 ebpXML( 电 子 商务 XML 可 能 会 用 于 G2B)、XML、SOAP 或 是 Web 服务 。 提 供 
细 粒 度 .多 层次 安全 保障 的 信息 交换 平台 : 传输 层 安全 应 用 层 端 到 端 安全 。 


“3.9 无 线 网 络 安全 技术 


391 无 线 网 络 的 特点 


几 年 前 ,无 线 网 络 对 于 许多 普通 的 网 络 用 户 而 言 ,还 是 一 个 可 望 而 不 可 即 的 梦 。 随 着 
手机 无线 网 卡 等 简单 无 线 设备 的 日 渐 普 及 ,大 家 才 真 正体 验 到 无 线 技术 的 无 限 魅 力 , 以 
至 于 到 现在 ,许多 追求 时 尚 和 便捷 生活 的 年 轻 人 ,已 经 对 陪伴 多 年 的 有 线 鼠 标 也 不 习惯 
了 ,取而代之 的 是 更 为 灵巧 的 无 线 鼠 标 。 蓝 牙 耳 机 的 逐渐 兴起 ,随处 可 见 的 无 线 上 网 笔记 
本 计算 机 ,似乎 都 在 告诉 我 们 ,我 们 的 生活 铠 怕 已 经 很 难 离开 无 线 技术 了 。 

但 是 ,无 线 应 用 的 便捷 掩饰 不 了 它 与 生 俱 来 的 局 限 性 。 与 传统 的 有 线 网 络 相 比 ,无 线 
网 络 的 安全 性 首先 就 是 一 个 引 人 关 注 的 问题 。 男 外 , 同 有 线 设 备 相 比 ,无 线 设 备 具有 
CPU 处 理 速度 较 慢 、 内 存 容量 较 小 、 通 信和 链 路 带宽 较 小 ,输入 法 有 限 或 完全 不 同 、 显 示 屏 
较 小 .电池 寿命 短 等 局 限 性 ,而 且 这 些 设备 的 网 络 访问 方式 也 相对 有 限 。 从 设备 的 物理 安 
全 角度 来 看 ,这 些 便携 设备 面临 着 更 多 的 物理 安全 风险 ,例如 ,容易 被 盗 , 使 用 环境 的 温 
度 湿度. 抗 电 磁 干扰 等 物理 条 件 不 一 定 符合 要 求 等 。 而 且 ,相对 于 这 些 风 险 , 对 这 些 无 线 
设备 可 以 采用 的 安全 保护 技术 措施 实在 是 非常 有 限 。 例 如 ,对 于 笔记 本 计算 机 而 言 ,现在 
使 用 笔记 本 计算 机 锁 的 人 为 数 不 少 。 可 真有 人 相信 这 样 就 足够 安全 了 吗 ? 和 手机 一 样 ， 
一 且 被 资 ,要 追查 回来 ,谈何容易 ! 

当然 ,我 们 并 不 能 因为 这 些 局 限 性 就 望而却步 了 。 事 实 上 ,对 无 线 技术 进行 改进 的 尝 
试 也 从 没 停止 过 。 这 些 改进 最 集中 地 体现 在 两 个 方面 ,一 是 对 无 线 网 络 标准 的 改进 ;二 是 
对 无 线 设备 功能 与 性 能 的 改进 。 前 者 是 某 些 无 线 网 络 信息 技术 专业 人 员 ,专业 研究 机 构 ， 
尤其 是 热衷 于 技术 探索 的 技术 团体 (包括 标准 化 组 织 ) 的 兴趣 所 在 ,后 者 则 主要 是 靠 一 些 
设备 制造 商 的 不 断 努力 。 

目前 ,全 世界 互联 网 用 户 早已 超过 10 亿 , 移 动 终端 的 数量 也 已 经 接近 10 亿 。 这 些 数 
字 表 明 : 随 着 时 代 的 推移 与 技术 的 进步 ,人 类 对 移动 性 和 信息 的 需求 正在 急速 上 升 , 越 来 
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越 多 的 人 希望 在 移动 的 过 程 中 高 速 接 入 互联 网 ,获取 急需 的 信息 ,尽快 完成 想 做 的 事情 。 
无 线 通 信 的 安全 性 因此 显得 愈 发 重要 ,对 无 线 网 络 的 安全 性 要 求 很 高 的 网 络 应 用 也 是 层 
出 不 穷 ,其 中 ,最 典型 的 应 用 有 移动 电子 商务 和 无 线 电子 邮件 存 取 应 用 等 。 

电子 商务 是 利用 现在 先进 的 电子 技术 从 事 各 种 商业 活动 的 方式 。 随 着 移动 通信 技术 
和 无 线 网 络 的 发 展 , 电 子 商 务 正 向 移动 和 无 线 连接 领域 发 展 , 从 而 出 现 了 移动 电子 商务 
(Mobile Business 或 M-Business) ,移动 电子 商务 使 用 移动 设备 进行 电子 商务 交易 活动 ， 
移动 电子 商务 的 具体 的 优点 有 : 

(1) 移动 交易 不 受 时 间 和 地 点 的 限制 。 

(2) 效率 高 ,大 大 节省 了 客户 的 交易 时 间 。 

(3) 移动 终端 的 身份 固定 ,能够 向 用 户 提供 个 性 化 的 移动 交易 服务 。 

(4) 可 以 提供 与 位 置 无 关 的 交易 服务 。 

在 移动 电子 商务 中 的 应 用 主要 包括 以 下 具体 的 实现 环节 : 

(1) 网 上 银行 : 用 户 可 以 用 移动 设备 通过 网 上 银行 轻松 实现 电话 费 缴纳 、 商 场 购物 、 
缴 泊 车 费 . 自 动 售 货 机 买 饮料 .公交 车 付费 ,投注 彩票 等 手机 支付 服务 。 如 果 在 网 上 银行 
系统 中 采用 了 WPKI 和 数字 证 书 认证 技术 ,不 法 分 子 即 使 窃取 了 卡号 和 密码 ,也 无 法 在 
网 上 银行 交易 中 实现 诈骗 。 从 世界 范围 看 ,数字 证 书 技术 已 经 被 广泛 地 应 用 在 国内 外 网 
上 银行 系统 中 ,至今 尚未 发 现 一 例 由 于 数字 证 书 被 攻破 而 使 网 上 银行 诈骗 得 退 的 案件 。 
网 上 银行 主要 包括 无 线 电子 支付 和 无 线 电 子 转账 。 

(2) 移动 支付 标准 : 移动 支付 问题 是 移动 电子 商务 中 的 关键 问题 ,目前 的 移动 支付 
标准 主要 有 远程 移动 钱包 标准 和 移动 电子 交易 标准 。 

(3) 移动 设备 安全 : 移动 设备 的 安全 主要 是 指 移动 设备 本 身 的 安全 ,包括 操作 环境 
的 安全 、 密 码 和 机 密 文 件 的 安全 ,以 及 验证 码 和 激活 码 的 安全 等 。 

此 外 无 线 网 络 安 全 问题 也 被 用 于 无 线 支付 方式 的 选项 和 B2B 中 ,主要 实现 交易 和 支 
付 的 安全 性 。 

由 于 商业 活动 信息 交换 的 比较 频繁 而 且 实 时 性 较 强 ,商业 人 士 可 能 会 随时 用 电子 邮 
件 交 换 一 些 秘密 的 或 是 有 商业 价值 的 信息 ,因而 用 手机 无 线 上 网 收发 电子 邮件 就 成 为 一 
种 易 用 、 高 效 的 信息 交换 工具 ,这 同时 引出 了 一 些 安全 方面 的 问题 ,例如 ,消息 和 附件 可 以 
在 不 为 通信 双方 所 知 的 情况 下 被 读 取 、 算 改 或 截 掉 ,同时 ,发 信者 的 身份 也 会 被 人 伪造 ,可 
能 造成 不 可 挽回 的 经 济 损失 。 

在 遵从 可 以 发 送 加 密 和 有 签名 邮件 的 安全 电子 邮件 协议 的 前 提 下 ,采用 WPKI 技术 
可 以 解决 这 一 问题 。 当 用 手机 无 线 上 网 发 送 电子 邮件 给 一 位 或 多 位 接收 人 时 ,发 送 者 可 
以 先 将 邮件 加 密 、 签 名 。 这 样 ,只 有 指定 的 接收 人 才 可 以 在 CA 中 心 的 服务 器 上 取得 公 钥 
并 开启 邮件 ,即使 该 邮件 被 其 他 人 截获 ,这 些 人 也 会 因为 得 不 到 公 钥 而 无 法 阅读 邮件 。 另 
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外 ,如 果 从 采用 的 主要 无 线 设 备 的 角度 进行 分 类 ,目前 无 线 网 络 的 主要 应 用 有 四 种 方式 : 
移动 电话 `. 近 地 /中 地 轨道 卫星 电话 网 .无线 LAN 和 无 线 电 话 ( 见 图 3-9-1) 。 


LEO/MEO MSS 无 线 本 地 电话 


包 交 换 网 络 
TCP/IP/ATM 


双重 通信 

线路 : a 了 H™sc 

1. 语 音 /数据 3 

2 控制 无 线 局 域 网 
# 有 线 通 信 
A 基础 设施 


图 3-9-1 无 线 网 络 的 主要 应 用 示意 图 


这 四 种 应 用 的 功能 要 求 .对 网 络 环境 的 要 求 、 互 操作 性 要 求 不 同 ,面临 的 威胁 与 可 以 
采用 的 对 策 也 彼此 不 同 。 


392 主要 标准 


1 无 线 应 用 协议 

无 线 应 用 协议 (Wireless Application Protocol,WAP) 的 出 现 掀 起 了 因特网 发 展 的 一 
次 新 的 浪潮 。WAP 是 有 线 网 络 和 移动 通信 网 络 的 桥梁 ,大 量 的 无 线 终端 (如 手机 、PDA 
等 ) 通 过 WAP 可 以 获取 因特网 上 的 大 量 的 信息 资源 。 但 是 同时 , WAP 的 安全 性 问题 也 
得 到 人 们 的 广泛 的 关注 ,由 于 在 无 线 网 路 中 ,无 线 终端 的 数据 处 理 能 力 有 限 ,无 线 网 络 的 
带宽 窗 , 时 延长 ,稳定 性 差 ,这 些 原因 导致 了 传统 的 有 线 网 络 安全 问题 不 能 在 无 线 网 络 中 
得 到 应 用 。WAP 的 安全 体系 结构 有 着 区 别 于 有 线 网 络 安全 的 特殊 性 。 
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WAP 是 由 WAP 论坛 制定 ,主要 实现 移动 Internet 接 入 的 基本 规程 。WAP 的 一 系 
列 通信 协议 将 使 新 一 代 移 动 通信 设备 可 靠 的 接 入 Internet。 如 图 3-9-2 所 示 , WAP 的 结 
构 与 万 维 网 (WWW) 结 构 有 多 类 似 的 地 方 ,最 大 的 不 同 就 在 于 在 WAP 的 模型 中 增加 了 
WAP 网 关 ; 移 动 终端 是 通过 WAP 网 关连 接 到 有 线 网 络 中 的 服务 器 上 的 。 


让 Web 服务 器 
客户 端 
| 证 RURD 
Web 


浏览 器 
0 响应 (ContenD)][ 中 Content 


(a) WWW 结构 


I 网 关 i Origin 服务 器 
客户 并 

10 于 一 0 > 
WAE 编码 器 和 


用 户 代理 解码 器 
= 编码 响应 ] |] 过 响应 (Contenb pe 


(b) WAP 结 构 
图 3-9-2 WWW 结构 与 WAP 结构 的 比较 


WAP 是 由 一 系列 的 协议 组 成 ,用 来 标准 化 移动 通信 设备 的 网 络 访问 服务 。WAP 为 
移动 通信 应 用 开发 提供 了 可 伸缩 的 可 扩展 的 环境 ,这 种 优越 性 建立 在 协议 分 层 设计 的 基 
础 上 ,结构 中 的 每 一 层 协议 都 可 以 被 上 层 的 协议 访问 ,这 种 结构 叫做 “WAP 协议 栈 ”。 
WAP 协议 栈 的 设计 参照 了 WWW 的 协议 栈 的 设计 ,但 是 对 WWW 协议 栈 的 传输 的 效率 
进行 了 优化 ,使 得 WAP 更 见 适应 于 移动 通信 网络 。 

图 3-9-3 描述 了 WAP 的 协议 栈 ,并 且 给 出 了 WAP 协议 栈 和 有 线 网 络 协议 栈 的 对 
比 。 从 图 中 我 们 可 以 知道 ,WAP 主要 分 为 无 线 应 用 环境 (WAE) .无线 会 话 协议 (WSP)、 
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OSI WAP Internet 


应 用 层 WAE | Other Services and HTML 
| Applications 


HTTP 


传输 层 WDP 


TCP/IP 
网 络 层 Bearers: UDP/IP 
GSM]| [IS-136][CDMA][PHS] [CDPD][PDC-P] (IDEN] [FLEX][ 


图 3-9-3 ”WAP 协议 栈 


WAP 的 安全 结构 由 WTLS、WIM、WPKI、WMLScript 四 部 分 组 成 ,每 个 部 分 在 实现 
无 线 网 络 安全 中 起 着 不 同 的 作用 。 基 于 WAP 的 安全 结构 组 成 如 图 3-9-4 所 示 。 


, a 
钦 件 安全 平台 
(WLTS 协议 WAP 网 关 网 络 服务 器 
WKL Script sign Text) 
而 件 安 全 设备 。 | | 元 线 认证 下心 主要 安全 参与 实体 
WTLS/TLS/SSL 网 络 安全 协议 平台 
TCP/UDP/IP/PPP 
WPKI 安全 基础 设施 平台 


图 3-9-4 WAP 的 安全 体系 结构 


在 该 安全 结构 中 ,各 主要 组 成 部 分 的 作用 是 : 

1) 无 线 传输 层 安全 (WTLS) 

安全 套 接 层 (SSL) 协 议 管理 有 线 网 络 的 在 线 通信 ,近年 来 ,传输 层 安全 (TSL) 协 议 正 
在 替代 SSL 成 为 Internet 的 安全 协议 ,然后 WAP 的 WTLS 将 TLS 扩展 到 移动 环境 。 
WTLS 的 主要 目的 是 提供 机 密 性 ,数据 完整 性 和 身份 认证 。 在 WAP 结构 中 ,TLS 或 是 
SSL 是 在 网 络 服务 器 和 WAP 网 关 之 间 使 用 ; WAP 网 关 将 TLS 和 SSL 信息 转换 成 
WTLS 信息 ,使 得 在 无 线 网 络 中 的 数据 传输 更 加 的 有 效 。WTLS 由 功能 协议 层 和 记录 协 
议 层 构成 ,其 中 功能 协议 层 包 括 握手 协议 .改变 密码 规范 协议 .告警 协议 ;记录 协议 层 提供 
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对 握手 协议 层 以 及 上 层 应 用 数据 的 封装 结构 ,在 
客户 端 和 服务 器 端的 WTLS 对 等 层 之 间 完 成 实 “| 握手 协议 | 改变 密码 规范 协议 
际 的 数据 传输 任务 。WTLS 协议 的 结构 如 记录 协议 层 
图 3-9-5 所 示 。 

2) 无 线 身份 识别 模块 (WIM) 

无 线 身份 识别 模块 WIM 是 WAP 定义 的 一 个 防 自 改 的 硬件 , 它 被 用 来 执行 安全 层 和 
应 用 层 的 安全 功能 ,以 及 保存 和 处 理 用 户 ID 和 权限 的 功能 。 一 般 情况 下 ,WIM 都 是 通过 
智能 卡 的 形式 实现 的 ,比如 单独 的 WIM 卡 , 或 是 和 SIM 卡 结合 ,形成 S/WIM 卡 。WIM 
解决 安全 方面 的 两 个 基本 的 问题 : 第 一 是 在 WAP 网 关 和 移动 终端 之 间 实 现 WTLS 协 
议 ,WIM 通过 保存 在 智能 卡 中 的 密码 算法 来 执行 通信 双方 的 验证 和 校 验 的 功能 ;第 二 是 
通过 数字 签名 和 非 否 认 技术 来 保证 应 用 层 的 安全 。 

3) 无 线 PKICWPKD) 

无 线 PKI 是 由 WAP 论坛 提出 的 一 个 标准 ,主要 在 WAP 的 安全 结构 中 负责 证 书 的 
发 放 , 管 理 以 及 相关 的 操作 。WPKI 对 PKI 做 了 一 些 必要 的 改动 ,使 之 更 加 适合 无 线 网 
络 环境 。WPKI 采 用 非 对 称 密码 算法 和 原理 来 提供 移动 通信 网 络 中 的 安全 服务 ,包括 身 
份 认 证 ,数据 完整 性 和 加 密 等 服务 。 在 具体 的 实施 上 ,WPKI 采 用 证 书 作为 密 钥 对 的 管理 


手段 ,可 以 说 ,WPKI 是 WA 安全 的 基础 。 图 3-9-6 描述 了 WPKI 的 结构 和 工作 流程 。 
9. 利 用 用 户 证 书 对 要 交换 的 信息 签名 


蓄 
] 腾 
导 
天 


图 3-9-5 WTLS 协议 的 结构 


8.SSL 连接 


7 和 用 这 

WTLSi 6. 服 务 器 得 到 证 书 
安全 传输 WA 网 关 服务 器 和 证 书 撤销 列表 
证 书 颁发 


5. 创 建 证 书 入 口 ， 并 把 
证 书 地 址 发 送 给 用 户 


二 2.PKI 入 口 将 申请 提交 给 CA 一 一 
PKI 入 口 Sh 


图 3-9-6 ”WPKI 的 结构 和 工作 流程 
WPKI 中 定义 了 三 种 不 同 的 安全 通信 模式 : 


(1) 使 用 服务 器 证 书 的 WTLS Class 2 模式 : 这 种 模式 中 ,客户 端 可 以 验证 它 连接 的 
服务 器 的 身份 。 
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(2) 使 用 客户 端 证 书 的 WTLS Class 3 模式 : 这 种 模式 中 ,服务 器 验证 了 请 求 连接 的 


客户 端的 身份 。 


(3) 使 用 客户 端 证 书 合并 WTLS Script 的 signText 模式 : signText 模式 中 ,基本 的 


功能 和 Class3 的 功能 很 是 类 似 ,但 是 主要 的 区 别 是 WTLS Class 3 模式 也 支持 移动 终端 
与 网 关 的 安全 连接 和 移动 终端 与 网 络 服务 器 的 安全 连接 两 种 情形 。 


规 


目前 ,WPKI 已 经 能 够 支持 X. 509 v3、X9. 68、WTLS 格式 的 证 书 。 依 据 WAP-199-WTLS 


范 中 的 定义 ,证 书 内 容 应 该 包括 : 


(1) Certification version: 值 为 51。 

(2) Signature algorithm: 用 于 签署 证 书 的 算法 。 

(3) Issuer: Client 端 信任 的 一 家 证 书 颁发 机 构 。 

(4) Valid not before: 证 书 有 效 期 开始 ,UNIX32 位 格式 。 
(5) Valid not after: 证 书 有 效 期 终止 ,UNIX32 位 格式 。 
(6) Subject: 公 钥 所 有 者 。 

(7) Public key type: 公 钥 算法 。 

(8) Parameter specifier: 任何 与 公 钥 相关 的 参数 。 

(9) Public key: 公 钥 。 

4) WMLScript 

WMLScript 是 运行 在 手机 上 的 脚本 程序 ,和 JAVAScript 很 有 类 似 之 处 ,不 同 之 处 


就 在 于 WMLScript 必须 放 在 一 个 WMLS 文件 中 ,并 且 WMLS 文件 的 大 小 不 能 大 于 


EL 


4KB。 
WMLScript 给 应 用 程序 提供 了 以 下 功能 : 
(1) 在 发 往 网 络 服务 器 之 前 对 用 户 输入 进行 了 有 效 地 检查 。 
(2) 访问 设备 的 设施 和 外 围 。 
(3) 同 用 户 交互 而 不 引发 到 服务 器 的 往返 (例如 : 显示 错误 信息 ) 。 
事实 上 ,在 WMLScript 中 ,实现 安全 功能 的 主要 是 signText 函数 。signText 函数 主 


要 实现 客户 端 消 息 的 签名 ,然后 把 签名 和 消息 一 起 发 送出 去 ,由 服务 器 端 验证 签名 。 


2 80211 无 线 局 域 网 标准 
无 线 局 域 网 (Wireless Local Area Network,WLAN) 采 用 相应 的 标准 ,实现 对 现 有 有 


线 LAN 的 扩展 ,使 用 无 线 电波 承载 数据 ,使 数据 在 短 距离 中 以 高 传输 率 被 传送 到 装备 了 
无 线 电 接收 器 和 发 送 器 的 设备 中 。 
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目前 使 用 最 多 的 无 线 局 域 网 标准 是 802. 11a/b/g。802. 11 规范 了 无 线 局 域 网 的 介质 


3.9 无 线 网 络 安全 技术 ED 


访问 控制 层 (MAC) 和 物理 层 ,使 得 各 个 不 同 的 
厂商 的 产品 可 以 互 连 。 图 3-9-7 描述 了 完整 的 
802. 11 的 协议 实体 。 Me 

其 中 ,MAC 层 分 为 MAC 子 层 和 MAC 管理 PLCP 理 
子 层 。MAC 子 层 主要 负责 访问 控制 的 实现 和 分 | mp | 
组 的 拆 分 和 重组 。MAC 管理 子 层 主要 负责 ESS 
漫游 管理 ,电源 管理 ,还 有 登记 过 程 中 的 关联 ,去 
关联 以 及 要 求 重新 关联 等 过 程 的 管理 。 

802. 11 的 物理 层 分 了 三 个 子 层 : 物理 层 会 聚 协 议 (PLCP), 物 理 介质 相关 协议 
(PMD) 和 物理 层 管理 子 层 。PLCP 子 层 主要 进行 载波 侦 听 的 分 析 和 针对 不 同 的 物理 层 形 
成 相应 的 分 组 。PMD 子 层 用 于 识别 相应 的 介质 传输 信号 所 使 用 的 调制 和 编码 技术 。 物 
理 管理 子 层 为 不 同 的 物理 层 进 行 信道 选择 和 协调 。 

除 此 之 外 ,IEEE 802. 11 还 定义 了 一 个 台 管 理子 层 , 主 要 任务 是 协调 物理 层 和 MAC 
层 之 间 的 交互 作用 。 

在 802.11a/b/g 中 ,802. 11b 应 用 最 为 广泛 。 该 协议 有 两 个 主要 组 件 , 即 远程 设备 中 
的 无 线 网 络 接口 卡 (NIC) 和 无 线 接 人 点 (Access Point) 。802. 11b 标准 为 其 分 配 了 11 个 
信道 。 流 量 可 以 进一步 通过 使 用 扩展 服务 区 ID(ESSID) 进 行 分 段 。ESSID 是 接 入 点 与 
无 线 LAN 适配器 之 间 一 个 共享 的 .明文 方式 的 名 称 。 如 果 LAN 适配器 与 接 入 点 的 
ESSID 相同 ,就 允许 LAN 适配器 与 接 入 点 相连 。 


393 无 线 局 域 网 


无 线 局 域 网 (Wireless LAN, WLAN) 的 技术 和 产业 可 以 追溯 到 20 世纪 80 年 代 中 
期 ,美国 联邦 通信 委员 会 (FCC) 使 用 了 扩 频 技术 ,在 随后 的 几 年 中 发 展 的 很 慢 , 但 是 由 于 
802. 11b 标准 的 制定 ,现在 WLAN 技术 发 展 的 很 快 。 无 线 技术 在 便利 性 和 成 本 上 的 两 个 
优势 ,使 得 它 无 需 布线 ,灵活 方便 ,上 且 产品 已 经 很 多 很 成 熟 ,范围 一 般 在 室内 100m, 室 外 
300m 左右 ,所 以 不 需要 把 使 用 者 束缚 在 他 们 的 桌子 上 ,就 可 以 得 到 需要 的 数字 资源 。 

WLAN 技术 的 优势 主要 体现 在 核心 业务 优势 和 运营 优势 两 方面 。 核 心 业务 优势 包 
括 提 高 了 雇员 的 工作 效率 、 提 高 了 业务 进程 的 速度 和 效率 以 及 增 大 了 创建 全 新 业务 功能 
的 可 能 性 。 运 营 优 势 包括 降低 管理 成 本 和 降低 资本 支出 。 

其 中 ,WLAN 的 核心 业务 优势 主要 在 于 提高 了 员工 工作 的 灵活 性 和 机 动 性 ,例如 : 

(1) 通过 建立 与 企业 局 域 网 (LAN) 的 透明 连接 ,在 办 公 室 与 办 公 室 间 活动 的 人 、 进 入 
办 公 室 的 远程 工作 人 员 都 节省 了 不 少时 间 ,避免 了 很 多 麻烦 。 无 线 网 络 覆盖 的 任何 物理 位 
置 都 可 即时 建立 可 用 连接 ,而 无 需 寻 找 网 络 端口 .电缆 或 IT 人 员 来 帮助 您 连接 到 网 络 。 


图 3-9-7 802.11 的 协议 实体 
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(2) 无 论 知 识 顾问 位 于 建筑 物 的 任何 位 置 ,需要 其 帮助 的 员工 都 可 与 之 保持 联系 。 
通过 电子 邮件 .电子 日 历 和 网 络 聊天 ,员工 无 论 在 开会 还 是 离开 办 公 室 ,都 可 保持 联机 

(3) 联机 信息 随时 可 用 。 如 果 会 议 中 有 人 急需 检索 上 个 月 的 图 形 报告 或 更 新 演示 文 
稿 ,无 需 中 断 会 议 。 这 将 极 大 提高 会 议 的 质量 和 效率 。 

(4) 提高 了 组 织 的 灵活 性 。 随 着 团队 和 项 目 结构 的 更 改 , 快 速 、 轻 松 地 移动 办 公 桌 ， 
其 至 移动 整个 办 公 室 都 会 成 为 可 能 ,员工 不 会 再 受到 办 公 位 置 的 束缚 。 

WLAN 技术 的 主要 运营 优势 是 具有 较 低 的 资金 和 运营 成 本 ,这 可 以 具体 归纳 为 


三 点 : 
(1) 建筑 物 联 网 的 成 本 大 幅度 降低 。 尽 管 多 数 办 公 室 空间 都 铺设 了 网 络 电缆 ,但 仍 
有 许多 其 他 工作 场所 (例如 ,工厂 仓库 和 商店 ) 尚 未 铺设 。 无 线 网 络 还 可 以 在 无 法 建立 有 
线 网 络 的 位 置 (例如 ,户外 、 海 上 甚至 战场 ) 提 供 。 

(2) 可 以 根据 组 织 需 求 来 调整 网 络 (如 果 需 要 ,甚至 可 以 每 天 调整 ) ,使 之 满足 不 同 层 
次 的 需求 ;在 给 定位 置 部 署 高 度 集中 的 无 线 接 和 点 (AP) 要 比 增加 有 线 网 络 的 端口 数 容 
易 得 多 。 

(3) 构建 基础 结构 再 也 不 需要 考虑 资金 ,可 以 轻松 地 将 无 线 网 络 基础 结构 移动 到 新 
的 建筑 物 ,而 有 线 网 络 永远 是 固定 的 。 

虽然 WLAN 具有 上 述 优势 ,但 与 其 相关 的 许多 安全 问题 还 是 限制 了 这 项 技术 的 使 
用 。 金 融和 政府 等 比较 关注 WLAN 安全 的 行业 部 门 ,尤其 担心 通过 WLAN 将 没有 得 到 
足够 保护 的 数据 传播 给 周围 地 区 的 人 ,非常 危险 。 目 前 ,大 多 数 业 务 已 经 实施 了 某 种 形式 
的 无 线 安全 性 ,但 这 种 安全 性 通常 只 是 采用 了 最 为 基本 的 第 一 代 无 线 安全 功能 。 而 按照 
现今 的 需求 标准 来 考虑 , 它 所 提供 的 保护 措施 是 远 远 不 够 的 。 

一 般 地 ,WLAN 应 用 主要 存在 以 下 几 种 不 安全 因素 ， 

(1) 窃听 (数据 泄漏 )。 窃 听 网 络 传输 数据 可 导致 机 密 数 据 泄 漏 , 未 保护 的 用 户 赁 据 
泄漏 ,以 及 身份 被 盗用 。 还 使 得 有 经 验 的 入侵 者 能 够 收集 用 户 的 IT 环境 相关 信息 ,然后 
利用 这 些 信息 攻击 其 他 情况 下 不 易 遭 到 攻击 的 系统 或 数据 。 

(2) 截获 和 修改 传输 数据 。 如 果 攻 击 者 可 以 访问 网 络 , 他 (或 她 ) 便 可 插入 恶意 计算 
机 来 截获 和 修改 两 个 合法 方 之 间 交 换 的 网 络 数据 。 

(3) 哄骗。 如 果 可 以 访问 内 部 网 络 , 和 人 侵 者 便 可 以 采用 一 些 在 网 络 外 部 无 效 地 方法 
伪造 表面 上 合法 的 数据 ,例如 ,一 封 哄骗 性 的 电子 邮件 。 相 比 之 下 ,员工 (包括 系统 管理 
员 ) 通 常 更 容易 相信 来 自 企业 网 络 内 部 的 信息 ,而 不 是 来 自 网 络 外 的 信息 。 

(4) 拒绝 服务 (DoS) 。 一 个 攻击 者 可 能 会 以 各 种 方式 触发 DoS 攻击 。 例 如 ,攻击 者 
会 通过 简单 的 技术 (如 微波 炉 ) 触 发 无 线 电 级 信号 干扰 。 复 杂 的 攻击 多 是 针对 低层 无 线 协 
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议 本 身 ;不 很 复杂 的 攻击 则 通过 向 WLAN 发 送 大 量 的 随机 流量 而 使 网 络 堵塞 。 

(5) 免费 下 载 (或 资源 次 用 )。 入 侵 者 最 邪恶 的 举动 是 利用 被 攻击 者 的 网 络 作 为 自己 
访问 Internet 的 自由 访问 点 。 这 昌 不 像 其 他 威胁 那么 有 杀伤 力 , 但 至 少 不 仅 会 降低 合法 
用 户 的 服务 可 用 级 别 ,还 可 能 会 引入 病毒 和 其 他 安全 威胁 。 

(6) 偶然 威胁 。 某 些 WLAN 功能 可 使 无 意 的 威胁 引发 祸 端 。 例 如 ,合法 访问 者 可 能 
在 启动 便携 式 计算 机 时 无 意 间 连 接 了 用 户 的 网 络 ,然后 自动 连接 到 用 户 所 在 的 WLAN。 
现在 ,访问 者 的 便携 式 计 算 机 是 病毒 侵入 网 络 的 潜在 入 口 点 。 这 种 安全 威胁 是 WLAN 
应 用 中 存在 的 一 个 最 为 明显 的 安全 问题 。 

(7) 恶意 WLAN。 即 便 某 些 公司 尚未 正式 启用 WLAN, 仍 会 受到 在 公司 的 网 络 上 出 
现 的 非法 托管 WLAN 的 威胁 。 热 心 的 雇员 购买 的 低 价位 WLAN 硬件 会 使 这 些 公司 的 
网 络 出 现 意外 的 安全 漏洞 。 

早期 的 无 线 网 络 标准 安全 性 并 不 完善 ,技术 上 存在 一 些 安 全 漏洞 。 但 是 ,由 于 
WLAN 标准 是 公开 的 , 随 着 使 用 的 推广 ,更 多 的 专家 参与 了 无 线 标准 的 制定 ,使 其 安全 技 
术 迅 速成 熟 起 来 。 现 在 不 只 是 在 家 庭 ,学校 ,中 小 企业 里 边 WLAN 得 到 广泛 的 应 用 ,在 
对 于 信息 安全 需求 更 为 敏感 的 大 企业 ` 金 融 机 构 ,政府 机 构 ,WLAN 的 安全 性 与 可 靠 性 也 
得 到 了 进一步 认可 ,并 得 以 大 量 地 推广 使 用 。 

为 了 有 效 保 障 无 线 局 域 网 的 安全 性 ,必须 实现 三 个 基本 的 安全 目标 ,分 别 是 : 

(1) 提供 接 人 控制 : 验证 用 户 , 授 权 他 们 接 人 特定 的 资源 ,同时 拒绝 为 未 经 授权 的 用 
户 提供 接 入 。 

(2) 确保 连接 的 保密 与 完好 : 利用 强 有 力 的 加 密 和 校 验 技术 ,防止 未 经 授权 的 用 户 
窃听 ,插入 或 修改 通过 无 线 网 络 传输 的 数据 。 

(3) 防止 DoS 攻击 : 确保 不 会 有 用 户 占 用 某 个 接 入 点 的 所 有 可 用 带宽 ,从 而 影响 其 
他 用 户 的 正常 接 人 。 

事实 上 ,当前 无 线 局 域 网 安全 技术 的 快速 发 展 和 应 用 ,已 经 为 无 线 网 络 的 安全 提供 了 
一 定 程 度 的 保障 。 这 些 保障 性 的 技术 措施 主要 有 以 下 六 种 : 

1) 服务 区 标识 符 匹 配 

服务 区 标识 符 (Service Set Identifier,SSID) 将 一 个 无 线 局 域 网 分 为 几 个 不 同 的 子 网 
络 ,每 一 个 子 网 络 都 有 其 对 应 的 身份 标识 SSID, 只 有 无 线 终端 设置 了 配对 的 SSID 才 接 入 
相应 的 子 网 络 。 所 以 可 以 认为 SSID 是 一 个 简单 的 口令 ,提供 了 口令 认证 机 制 ,实现 了 一 
定 的 安全 性 。 但 是 这 种 口令 极 易 被 无 线 终端 探测 出 来 ,企业 级 无 线 应 用 绝 不 能 只 依赖 这 
种 技术 做 安全 保障 ,而 只 能 作为 区 分 不 同 无 线 服务 区 的 标识 。 

2) 无 线 网 卡 物理 地 址 过 滤 

每 个 无 线 工 作 站 网 卡 都 由 唯一 的 物理 地 址 (MAC) 标 识 , 该 物理 地 址 编码 方式 类 似 于 
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以 太 网 物理 地 址 ,是 48 位 。 网 络 管理 员 可 在 无 线 局 域 网 访问 点 AP 中 手工 维护 一 组 (不 ) 
允许 通过 AP 访问 网 络 地 址 列表 ,以 实现 基于 物理 地 址 的 访问 过 滤 。 其 优点 是 : 简化 了 
访问 控制 ,接受 或 拒绝 预先 设 定 的 用 户 ,被 过 滤 的 MAC 不 能 进行 访问 .提供 了 第 二 层 的 
防护 。 缺 点 是 : 当 AP 和 无 线 终端 数量 较 多 时 ,大 大 增加 了 管理 负担 ,容易 受到 MAC 地 
址 伪装 攻击 。 

3) 有 线 等 效 保密 

IEEE 80211.b 标准 规定 了 一 种 被 称 为 有 线 等 效 保密 (Wired Equivalent Privacy， 
WEP) 的 可 选 加 密 方 案 ,其 目的 是 为 WLAN 提供 与 有 线 网 络 相同 级 别 的 安全 保护 。 
WEP 采 用 了 静态 的 有 线 等 同 保密 密 钥 的 基本 安全 方式 。 静 态 WEP 密 钥 是 一 种 在 会 话 
过 程 中 不 发 生变 化 也 不 针对 各 个 用 户 而 变化 的 密 钥 。WEP 在 传输 上 提供 了 一 定 的 安全 
性 和 机 密 性 ,能 够 阻止 有 意 或 无 意 的 无 线 用 户 查看 到 在 AP 和 STA 之 间 传 输 的 内 容 。 静 
态 WEP 密 钥 的 优点 在 于 : 全 部 报 文 都 使 用 校 验 和 加 密 , 提 供 了 一 些 抵抗 自 改 的 能 力 、 通 
过 加 密 来 维护 一 定 的 机 密 性 ,如 果 没 有 密 钥 , 就 难 把 报 文 解密 、WEP 非常 容易 实现 .WEP 
为 WLAN 应 用 程序 提供 了 非常 基本 的 保护 。 同 时 ,静态 WEP 密 钥 的 局 限 性 也 很 明显 ， 
主要 是 它 对 于 WLAN 上 的 所 有 用 户 都 是 通用 的 ,缺少 密 钥 管理 ,ICV 算法 不 合适 , RC4 
算法 存在 弱点 ,以 及 认证 信息 易于 伪造 。 

4) 端口 访问 控制 技术 (IEEE 802. 1x) 和 可 扩展 认证 协议 (EAP) 

尽管 802. 1x 标准 最 初 是 为 有 线 以 太 网 设计 制定 的 ,但 它 也 适用 于 符合 802. 11 标准 
的 无 线 局 域 网 ,并 且 被 视 为 是 WLAN 的 一 种 增强 性 网 络 安全 解决 方案 。802. 1x 体系 结 
构 包 括 三 个 主要 的 组 件 : 

(1) 请 求 方 (supplicant) ; 提出 认证 申请 的 用 户 接 入 设备 ,在 无 线 网 络 中 ,通常 指 待 接 
入 网 络 的 无 线 客户 机 STA。 

(2) 认证 方 Cauthenticator) : 允许 客户 机 进行 网 络 访问 的 实体 ,在 无 线 网 络 中 ,通常 
指 访问 接 入 点 AP。 

(3) 认证 服务 器 (authentication sever): 为 认证 方 提供 认证 服务 的 实体 。 认 证 服务 
器 对 请 求 方 进行 验证 ,然后 告知 认证 方 该 请 求 者 是 否 为 授权 用 户 。 认 证 服务 器 可 以 是 某 
个 单独 的 服务 器 实体 ,也 可 以 不 是 。 如 果 它 不 是 单独 的 服务 器 实体 ,通常 是 已 经 将 其 认证 
功能 集成 在 了 认证 方 认证 服务 器 中 。 

802. 1x 认证 一 般 包 括 以 下 六 种 EAP (Extensible Authentication Protocol) 认 证 模 
式 : EAP-MD5 \EAP-TLS(Transport Layer Security) .EAP-TTLS(Tunnelled Transport 
Layer Security )、 EAP-PEAP (Protected EAP), EAP-LEAP (Lightweight EAP)、 
EAP-SIM 。 

802. 1x 认证 的 优点 主要 体现 在 四 个 方面 : 
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(1) 802. 1x 协议 仅仅 关注 受 控 端口 的 打开 与 关闭 。 

(2) 接 入 认证 通过 之 后 ,IP 数据 包 在 二 层 普 通 MAC 帧 上 传送 。 

(3) 由 于 是 采用 Radius 协议 进行 认证 ,可 以 很 方便 地 与 其 他 认证 平台 进行 对 接 。 

(4) 提供 基于 用 户 的 计 费 系统 。 

但 是 , 它 的 缺点 也 很 明显 。 首 先 , 它 只 提供 用 户 接 和 人 认证 机 制 , 没 有 提供 认证 成 功 之 
后 的 数据 加 密 , 用 户 的 数据 仍然 是 使 用 的 RC4 进行 加 密 。 其 次 , 它 一 般 只 提供 单 向 认证 。 
此 外 , 它 提 供 的 是 STA 与 RADIUS 服务 器 之 间 的 认证 ,而 不 是 与 AP 之 间 的 认证 。 

5) WPA (Wi-Fi 保护 访问 ) 技术 

市 场 对 于 提高 WLAN 安全 的 需求 是 十 分 紧迫 的 。IEEE 802. 11i 的 进展 并 不 能 满足 
这 一 需要 。 在 这 种 情况 下 , Wi-Fi 联盟 制定 了 WPA (Wi-Fi Protected Access) 标 准 。 
WPA 是 IEEE 802. 11i 的 一 个 子 集 ,其 核心 就 是 IEEE 802. 1x 和 TKIP。 

尽管 WPA 在 安全 性 方面 相 比 WEP 有 了 很 大 的 改善 和 加 强 , 但 WPA 只 是 一 个 临 
时 的 过 渡 性 方案 ,在 WPA2(802. 11i) 中 将 会 全 面 采 用 AES 加 密 机 制 。 

6) 高 级 的 无 线 局 域 网 安全 标准 一 一 IEEE 802. 11i 

IEEE 802. 11i 规定 使 用 802. 1x 认证 和 密 钥 管理 方式 。 在 数据 加 密 方面 ,定义 了 
TKIP(Temporal Key Integrity Protocol) .CCMP(Counter-Mode/CBC-MAC Protocol) 和 
WRAP(Wireless Robust Authenticated Protocol) 三 种 加 密 机 制 。 其 中 ,TKIP 采用 WEP 
机 制 里 的 RC4 作为 核心 加 密 算法 ,可 以 通过 在 现 有 的 设备 上 升级 固件 和 驱动 程序 的 方法 
达到 提高 WLAN 安全 的 目的 。CCMP 机 制 基于 AES(Advanced Encryption Standard) 
加 密 算法 和 CCM(Counter-Mode/CBC-MAC) 认 证 方式 ,使 得 WLAN 的 安全 程度 大 大 提 
高 ,是 实现 RSN 的 强制 性 要 求 。 

对 于 WLAN 系统 ,如 果 不 从 整体 上 进行 规划 和 设计 ,只 孤立 地 采用 单一 的 某 项 安全 
技术 ,一 般 都 无 法 满足 用 户 高 级 别 的 安全 性 要 求 ,反而 会 造成 无 线 网 络 不 安全 的 表象 , 导 
致 用 户 不 能 充分 利用 无 线 网 络 所 能 提供 的 诸多 特性 和 优点 来 进行 资源 共享 和 提高 工作 效 
率 。 因 此 ,必须 根据 用 户 的 实际 情况 和 需求 ,综合 运用 多 种 安全 技术 。 

那么 ,究竟 应 该 如 何 将 一 个 无 线 局 域 网 设置 成 为 安全 的 网 络 呢 ? 一 般 地 ,可 以 从 以 下 
四 方面 来 考虑 。 

1) 选择 恰当 的 物理 位 置 和 访问 方式 

对 于 安全 性 而 言 , 接 入 点 的 位 置 非常 关键 ,需要 考虑 它 的 可 访问 性 和 信号 范围 。 接 入 
点 的 位 置 应 该 放 在 攻击 者 很 难 修改 或 是 窜改 接 入 点 设置 的 地 方 。 此 外 ,还 要 确保 不 能 通 
过 远程 方式 对 接 入 点 进行 配置 ,尤其 是 不 能 通过 无 线 的 远程 方式 对 接 入 点 进行 配置 。 

另 一 个 问题 来 自 于 对 信号 强度 的 考虑 。 一 定 要 对 无 线 信 号 进行 测量 ,确定 接 人 点 的 
位 置 ,使 得 合法 用 户 范围 内 的 信号 强度 较 强 , 合 法 用 户 范围 之 外 的 信号 强度 较 弱 。 
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2) 进行 接 入 点 安全 配置 

构建 无 线 安全 网 络 的 下 一 个 步骤 是 配置 接 入 点 。 每 一 种 产品 的 出 厂 设置 是 基本 相同 
的 ,因此 在 接 入 点 接 入 网 络 之 前 修改 默认 配置 非常 重要 。SSID 和 接 入 点 名 称 这 些 默 认 的 
配置 一 定 要 修改 ,同时 要 注意 在 SSID 和 名 称 中 不 要 出 现 公 司 的 名 称 、 所 在 地 ,制造 商 名 
称 等 信息 ,还 要 关闭 接 入 点 的 SSID 广播 ,在 这 之 后 再 启动 WEP 的 128 位 的 密 钥 模式 。 
要 定期 修改 WEP 密 钥 ,防止 该 密 钥 被 攻破 。 至 于 很 多 接 入 点 和 网 络 所 提供 的 动态 主机 
配置 协议 (DHCP) 功 能 。 由 于 从 安全 的 角度 来 看 ,这 种 服务 对 地 址 请 求 的 控制 非常 有 限 ， 
建议 关闭 该 项 服务 。 除 此 之 外 ,还 必须 在 接 人 点 上 进行 MAC 地 址 过 滤 确保 只 有 那些 被 
指定 的 在 MAC 地 址 表 中 的 网 卡 才能 访问 无 线 局 域 网 。 

3) 安全 的 网 络 设计 方案 

采用 安全 的 网 络 设计 方案 ,是 实现 无 线 局 域 网 安全 重要 手段 。 这 里 ,首先 要 考虑 的 就 
是 无 线 接 和 人 点 的 放置 问题 ,应 该 将 它 放 置 在 不 可 信 的 网 段 ,并 采用 一 些 措施 将 可 信 网 段 和 
不 可 信和 网 段 隔离 开 , 这 样 就 可 以 保护 可 信 网 络 ,即使 是 攻击 者 连接 上 了 接 和 人 点 ,破解 了 
WEP 密码 ,他 们 也 无 法 访问 可 信 网 络 中 的 数据 。 

此 外 ,也 可 以 使 用 VPN 技术 实现 网 络 安全 连接 。VPN 既 可 以 对 用 户 进 行 身份 的 验 
证 ,也 可 以 提供 密码 服务 。VPN 服务 器 的 使 用 有 两 种 方法 : 一 种 是 使 用 单独 的 防火 墙 ， 
另 一 种 是 使 用 更 加 安全 的 双重 防火 墙 。 

图 3-9-8 所 示 的 无 线 局 域 网 使 用 了 一 个 单独 的 防火 墙 。 


Internet 


图 3-9-8 使 用 单独 防火 墙 的 无 线 局 域 网 设计 
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使 用 的 单独 防火 墙 将 内 部 网 络 和 接 入 点 隔离 开 ,VPN 服务 器 包含 在 内 部 网 络 中 。 通 
常情 况 下 ,这 种 设计 也 不 是 最 安全 的 ,因为 VPN 服务 器 遭受 的 任何 威胁 都 会 导致 内 网 的 
安全 性 下 降 。 为 了 实现 这 种 VPN 的 设置 ,需要 在 防火 墙 上 安装 另 一 层 网 络 接口 ,使 这 个 
新 的 接口 只 能 连接 到 接 入 点 上 ,而 且 还 要 为 这 些 接口 编写 一 个 单独 的 防火 墙 规则 ,允许 无 
线 网 络 到 VPN 服务 器 的 通信 ,同时 禁止 该 接口 的 其 他 任何 通信 。 

单独 防火 墙 解决 方案 能 够 满足 认证 和 加 密 的 要 求 ,但 不 是 很 理想 。 因 为 内 部 网 络 的 
安全 性 完全 依赖 于 VPN 服务 器 的 安全 性 。 如 果 VPN 服务 器 受到 攻击 ,那么 攻击 者 就 可 
以 攻击 内 部 网 络 中 的 任何 一 个 机 器 。 

图 3-9-9 是 一 双重 防火 墙 的 解决 方案 。 
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接 入 点 “、 


入 侵 保护 监测 器 过 
入 侵 者 
图 3-9-9 使 用 双重 防火 墙 的 无 线 局 域 网 设计 

该 图 中 的 两 个 防火 墙 ,一 个 是 保护 内 部 网 络 的 ,一 个 是 面向 接 入 点 的 。 两 个 防火 墙 之 
间 是 非 军事 区 DMZ( 这 是 添加 在 受 保护 网 络 和 外 部 网 络 之 间 的 网 络 ,可 以 将 敏感 的 信息 
和 公共 信息 隔离 ) 在 这 种 情况 下 ,可 以 将 VPN 服务 器 放 在 DMZ 中 。 只 允许 接 入 点 同 
DMZ 中 的 VPN 服务 器 进行 通信 。 这样, 即使 VPN 服务 器 遭受 威胁 ,并 不 能 使 攻击 者 攻 
击 内 部 网 络 。 

此 外 ,也 可 以 在 上 述 网 络 中 添加 一 个 人 侵 检测 系统 (IDS)。IDS 的 位 置 可 以 是 在 接 人 


点 所 在 的 不 可 信 网 段 , 这 样 有 助 于 提醒 管理 员 可 能 发 生 的 潜在 威胁 。 
在 这 种 设计 中 ,除了 设置 VPN, 还 可 以 直接 将 WEP 升级 为 WPA, 或 是 直接 采用 
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802. 11i。 但 是 通常 都 不 建议 放弃 防火 墙 的 设置 。 

4) 通过 策略 进行 保护 

在 启动 无 线 网 络 之 前 ,还 应 该 制定 网 络 的 安全 策略 。 安 全 策略 是 一 个 或 一 系列 便于 
理解 和 及 时 修改 的 文档 。 安 全 策略 必须 规定 不 能 在 内 网 中 放置 规划 之 外 的 接 入 点 ,因为 
一 旦 有 了 非法 的 接 入 点 ,整个 网 络 的 安全 性 就 大 大 降低 了 。 

安全 策略 还 应 该 详细 描述 更 新 用 户 工 组 站 上 的 WEP 密 钥 的 方法 及 其 操作 过 程 。 这 
种 操作 可 以 手动 完成 ,也 可 以 通过 加 密 电子 邮件 的 形式 进行 。 


3.10 小结 


本 章 介绍 了 密码 服务 、 密 钥 管 理 , 认 证 ,授权 、 容 灾 备 份 与 故障 恢复 、 恶 意 代码 防范 、 入 
侵 检测 ,安全 接口 与 中 间 件 ,无线 网 络 安全 九 种 信息 安全 技术 的 基本 原理 .主要 作用 、 通 用 
要 求 和 体系 结构 。 

鉴于 这 些 技术 都 有 各 自 丰 富 的 内 涵 , 我 们 在 很 多 时 候 也 称 其 中 的 每 一 个 是 一 个 单独 
的 技术 体系 。 但 是 ,在 实际 应 用 中 ,我 们 很 难 找到 仅仅 采用 了 其 中 一 种 技术 的 网 络 与 信息 
系统 。 原 因 很 简单 ,任何 一 种 单一 的 技术 都 无 法 满足 我 们 的 现实 需要 。 如 何在 综合 采用 
这 些 技术 的 基础 上 ,权衡 利 整 , 综 合 防范 ,是 一 个 不 断 吸引 众多 学 者 和 技术 专家 努力 探讨 
的 话题 。 

我 们 相信 , 随 着 新 需求 的 出 现 和 技术 的 进步 ,将 会 有 某 些 技术 彼此 更 为 密切 地 融合 ， 
不 分 彼此 ,从 而 改变 我 们 在 这 里 所 述 的 技术 分 类 格局 。 同 时 ,也 会 有 某 些 技术 逐渐 淡出 人 
们 的 关注 视野 。 这 正 是 我 们 不 断 探 索 研 究 的 动力 所 在 。 


习题 


简 答 题 : 

. 密码 服务 系统 通常 由 哪些 部 件 组 成 ” 这 些 部 件 各 自 的 作用 是 什么 ? 

. 一 个 实际 的 应 用 系统 会 涉及 哪些 密码 应 用 ? 

. 密码 服务 系统 接口 的 主要 功能 是 什么 ? 

. 密 钥 管理 基础 设施 主要 有 哪些 功能 ? 密 钥 管 理 系统 的 人 逻辑 组 成 主要 有 哪些 组 件 ? 
. 请 简要 说 明 认 证 体系 的 组 成 及 其 核心 组 件 CA 的 主要 作用 。 

. 什么 是 目录 服务 ? 什么 是 目录 树 ? 认证 体系 中 的 目录 服务 通常 采用 什么 协议 ? 
. 请 简要 描述 认证 体系 的 三 种 基本 信任 模型 。 
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8. 什么 是 交叉 认证 ? 什么 是 桥 CA? 

9. 请 简要 说 明 可 信和 时 间 戳 的 组 成 。 

10. 生物 特征 识别 可 以 采用 的 生物 特征 有 哪些 ? 

11. 简 述 授权 体系 的 基本 结构 ,并 详 述 策略 实施 点 和 策略 决策 点 的 作用 。 

12. 请 简要 说 明 容 灾 备份 与 故障 恢复 系统 的 运作 过 程 。 

13. 制定 具体 的 备份 策略 必须 遵循 哪些 原则 ? 建立 异地 备份 中 心 需要 满足 什么 基本 
要 求 ? 

14. 数据 备份 有 几 种 主要 类 型 ? 实现 数据 备份 的 方式 有 哪 几 种 ? 

15. 进行 系统 恢复 有 哪些 主要 措施 ?进行 数据 恢复 需要 考虑 哪些 因素 ? 

16. 网 关 防 病毒 系统 的 功能 要 求 主 要 是 什么 ? 

17. 什么 是 入 侵 检测 ?” CIDF 定义 的 五 类 入 侵 检测 系统 构件 分 别 有 什 么 作用 ? 

18. 入 侵 检测 系统 有 几 种 分 类 方法 ?基于 行为 的 入侵 检测 的 基本 原理 是 什么 ? 

19. 什么 是 中 间 件 ? 它 有 什么 特点 ? 简要 描述 安全 中 间 件 的 体系 结构 。 

20. WAP 的 结构 与 万 维 网 (WWW) 的 结构 有 什么 不 同 之 处 ? 

21. 简要 说 明 WAP 协议 栈 和 有 线 网 络 协议 栈 的 联系 。 

22. WAP 的 安全 体系 结构 中 的 WPKI 具有 什么 结构 ? 简要 说 明 WPKI 的 工作 
流程 。 

23. 802. 11b 协议 的 主要 组 件 是 什么 ? ESSID 有 什么 作用 ? 

24. 保障 WLAN 的 技术 措施 有 哪些 ? 


实践 题 : 

25. 介绍 你 所 了 解 的 动态 口令 应 用 。 

26. 浏览 一 些 常见 的 电子 商务 网 站 ,描述 你 所 观察 到 的 网 上 支付 方式 ,分 析 其 中 可 能 
存在 的 技术 漏洞 以 及 解决 办 法 。 

27. 对 比 工 商 银行 .招商 银行 的 网 上 银行 业务 模式 ,说 明 其 各 自 的 特点 。 

28. 描述 你 所 使 用 过 的 一 种 CA 的 证 书 格式 。 

29. 选择 一 台 恰 当 的 可 控 目 标 主机 ,尝试 一 种 网 络 入 侵 工具 ,说 明 它 的 主要 特点 和 功 
能 ,记录 你 的 操作 步骤 和 操作 结果 。 

30. 选择 一 个 可 控 的 LAN, 尝 试 一 种 网 络 扫 描 工具 ,说 明 它 的 主要 特点 和 功能 ,记录 
你 的 操作 步骤 和 操作 结果 。 

31. 借助 必要 的 软件 工具 ,查找 自己 计算 机 上 是 否 存在 恶意 代码 ,并 手工 清除 。 记 录 
你 的 操作 步骤 和 操作 结果 。 
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目前 市 场 上 的 信息 安全 产品 种 类 很 多 ,而 且 还 在 像 雨后春笋 一 样 不 断 涌现 ,我 们 不 可 
能 逐一 介绍 也 没 必要 逐一 介绍 。 本 章 主要 介绍 目前 常见 的 10 类 信息 安全 产品 ,结合 第 3 
章 所 介绍 的 相关 技术 描述 这 些 产品 的 主要 功能 ,特点 ,局 限 性 ,发 展 趋势 ,并 举例 说 明 一 些 
代表 性 产品 的 应 用 情况 。 


A451 网 络 边 界 防 护 产 品 


入 侵 检 测 系统 


目前 国内 外 已 有 很 多 入 侵 检测 系统 (IDS) 生 产 厂商 和 产品 ,国内 主要 的 IDS 生产 厂 
商 有 人 金 诺 网 安 \ 启 明星 尾 、 绿 盟 科 技 等 。 事 实 上 ,3.7 节 已 经 介绍 了 IDS 产品 的 功能 特点 
和 分 类 ,本 节 主 要 介绍 IDS 产品 的 局 限 性 和 发 展 趋势 。 


411 局 限 性 


近 20 年 来 ,由 于 网 络 攻 击 者 的 攻击 水 平 不 断 提高 ,攻击 工具 与 攻击 手法 日 趋 多 样 ,以 
及 以 黑客 为 代表 的 攻击 者 不 遗 余力 地 与 所 有 安全 产品 进行 着 斗争 ,IDS 等 网 络 安全 产品 
也 不 断 更 新 换代 ,IDS 产品 逐渐 地 从 一 个 简单 产品 发 展 成 为 智能 化 的 产品 直至 发 展 到 入 
侵 防御 系统 (IPS) 产 品 。 但 是 ,这 种 发 展 似乎 总 落后 于 实际 需求 。 

目前 看 来 ,IDS 还 存在 很 多 问题 ,有 待 于 进一步 完善 。 这 些 问 题 主要 是 : 


1 误 警 ( 误 报 ) 率 高 

误 警 的 传统 定义 是 将 良性 流量 误 认为 恶性 的 。 广 义 上 讲 , 误 警 还 包括 对 IDS 用 户 不 
关心 事件 的 告警 。 因 此 ,导致 IDS 产品 高 误 警 率 的 原因 是 IDS 检测 精度 过 低 以 及 用 户 对 
误 警 概念 的 拓展 。 

2 产品 适应 能 力 低 

传统 的 IDS 产品 在 开发 时 没有 考虑 特定 网 络 环境 的 需求 ,千篇一律 。 网 络 技术 在 发 
展 , 网 络 设备 变 得 复杂 化 、 多 样 化 ,这 就 需要 入 侵 检 测 产品 能 动态 调整 ,以 适应 不 同 环境 的 
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3 大 型 网 络 的 管理 存在 缺陷 

很 多 企业 规模 在 不 断 扩 大 ,对 IDS 产品 的 部 署 从 单 点 发 展 到 跨 区 域 全 球 部 署 , 这 就 
将 公司 对 产品 管理 的 问题 提 上 日 程 。 首 先 ,要 确保 新 的 产品 体系 结构 能 够 支持 数 以 百 计 
的 IDS 传感器 ;其 次 ,要 能 够 处 理 传感器 产生 的 告警 事件 ;此 外 ,还 要 解决 攻击 特征 库 的 
建立 ,配置 以 及 更 新 问题 。 


4 主动 防御 功能 不 足 
目前 市 场 上 IDS 产品 的 主动 防御 功能 普遍 不 足 , 需 要 在 下 一 代 IDS 产品 中 增强 主动 
防御 功能 ,以 增强 其 主动 性 。 


5 处 理 速度 上 的 瓶颈 

随 着 高 速 网 络 技 术 如 ATM.、 吉 比特 以 太 网 等 的 相继 出 现 ,如 何 实现 高 速 网 络 下 的 实 
时 入 侵 检测 是 急需 解决 的 问题 。 目 前 的 百 兆 、 吉 比特 IDS 产品 的 性 能 指标 与 实际 要 求 还 
存在 很 大 的 差距 。 

6 评价 IDS 产 品 没有 统一 标准 

对 IDS 进行 评价 缺少 客观 标准 ,在 IDS 之 间 实 现 互 联 存在 困难 。 单 一 的 IDS 产品 随 
着 技术 的 发 展 和 对 新 攻击 识别 的 增加 ,必须 不 断 升级 。 


412 发 展 趋势 


为 了 降低 误 警 率 、 合 理 部 署 多 级 传感器 ,有 效 控制 跨 区 域 的 传感器 ,下 一 代 IDS 产品 
正 沿 着 以 下 几 个 方向 发 展 。 


1 智能 关联 

将 企业 相关 系统 的 信息 (如 主机 特征 信息 ) 与 网 络 IDS 检测 结构 相 融 合 ,从 而 减少 误 
警 。 当 IDS 使 用 智能 关联 时 , 它 可 以 参考 目标 主机 上 存在 的 ,与 脆弱 性 相关 的 所 有 告警 
信息 。 如 果 目 标 主机 不 存在 某 个 攻击 可 以 利用 的 漏洞 ,IDS 将 抑制 告警 的 产生 。 智 能 关 
联 包括 主动 关联 和 被 动 关联 。 主 动 关联 是 通过 扫描 确定 主机 漏洞 ;被 动 关联 是 借助 操作 
系统 的 指纹 识别 技术 , 即 通过 分 析 IP、TCP 报头 信息 识别 主机 上 的 操作 系统 。 

2 告警 泛滥 抑制 

所 谓 * 告 警 泛滥 ?是 指 短 时 间 内 产生 的 关于 同一 攻击 的 告警 。 告 警 泛滥 抑制 技术 是 将 
一 些 规则 或 参数 (包括 警告 类 型 . 源 IP、 目 的 IP 以 及 时 间 窗 大 小 ) 融 入 IDS 传感器 中 ,使 
传感器 能 够 识别 告警 饱和 现象 并 实施 抑制 操作 。 传 感 器 可 以 在 告警 前 对 警报 进行 预 处 
理 ,抑制 重复 告警 。 例 如 ,可 以 对 传感器 进行 适当 配置 ,使 它 忽略 在 30 秒 内 产生 的 针对 同 
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一 主机 的 告警 信息 ;IDS 在 抑制 告警 的 同时 可 以 记录 这 些 重复 告警 用 于 事后 的 统计 分 析 。 
可 以 降低 误 警 率 。 

新 一 代 IDS 产品 应 该 能 够 利用 一 些 规则 对 产生 的 告警 信息 进行 筛选 ,以 此 来 抑制 告 
警 泛滥 。 例 如 ,IDS 可 以 根据 用 户 需 求 减少 或 抑制 短 时 间 内 同一 传感器 针对 某 个 流量 产 
生 的 重复 告警 。 这 样 ,网 管 人 员 可 以 专注 于 公司 网 络 的 安全 状况 ,不 至 于 因为 泛滥 的 告警 
信息 而 大 伤 脑筋 。 

3 告警 融合 

将 不 同 传感器 产生 的 ,具有 相关 性 的 低级 别 告警 融合 成 更 高 级 别 的 告警 信息 ,以 便 帮 
助 解 决 误 报 和 漏 报 问题 。 

当 与 低级 别 告警 有 关 的 条 件 或 规则 满足 时 ,安全 管理 员 在 IDS 上 定义 的 元 告警 相关 
性 规则 就 会 促使 产生 高 级 别 告警 。 例 如 ,扫描 主机 事件 ,如 果 单 独 考虑 每 次 扫描 ,可 能 认 
为 每 次 扫描 都 是 独立 的 事件 ,而且 对 系统 的 影响 可 以 忽略 不 计 ; 但 是 ,如 果 把 在 短 时 间 内 
产生 的 一 系列 事件 进行 整合 加 以 考虑 , 则 可 能 产生 不 同 的 结论 ,帮助 发 出 早期 攻击 告警 。 
通过 设置 元 告警 相关 性 规则 ,安全 管理 员 可 以 把 精力 都 集中 在 高 级 别 告警 的 处 理 上 。 元 
告警 相关 性 规则 中 定义 的 参数 包括 时 间 窗 、 事 件数 量 、 事 件 类 型 IP 地 址 、 端 口号 .事件 
顺序 。 


4 可 信任 防御 模型 

改进 的 IDS 中 应 该 包含 可 信任 防御 模型 的 概念 。2003 年 开始 ,许多 传统 的 IDS 厂商 
已 经 逐渐 地 在 IDS 产品 中 增加 了 防御 功能 。 从 那 时 起 ,第 一 代入 侵 防 御 系统 (IPS) 产 品 
的 使 用 率 逐 渐 增 长 。 但 是 ,IDS 产品 的 防御 功能 仍 有 待 于 提高 。 开 发 出 好 的 内 艇 防御 功 
能 的 IDS 产品 的 关键 是 提高 检测 的 精确 度 。 

融入 可 信任 防御 模型 后 ,将 可 以 解决 第 一 代 IPS 产品 遇 到 的 问题 ,例如 , 误 报导 致 合 
法 数据 被 阻塞 丢弃; 自身 原因 造成 的 拒绝 服务 攻击 泛滥 ;应 用 级 防御 。 

可 信任 防御 模型 中 采用 的 机 制 主要 有 : 

(1) 信任 指数 : IDS 为 每 个 告警 赋予 一 个 可 信 值 , 即 在 IDS 正确 评估 攻击 /威胁 后 对 
是 否 发 出 告警 的 自我 确信 度 。 如 对 于 已 知 的 SQLSlammer 攻击 ,IDS 在 分 析 数 据 流 中 的 
数据 报 类 型 和 大 小 后 ,以 高 确信 度 断 定数 据 流 包 含 SQLSlammer 流量 。 因 为 这 种 攻击 使 
用 UDP, 数 据 报 大 小 为 376 ,所 用 端口 为 1434; 有 了 这 样 的 数据 ,IDS 会 为 相应 的 告警 赋 
予 高 信任 指数 。 

(2) DoS 攻击 防护 机 制 : 攻击 者 可 能 冒充 被 攻击 者 内 网 中 的 IP 地 址 (例如 ,邮件 服务 
器 的 IP 地址) 进行 欺骗 攻击 ,传统 防御 系统 将 会 拒绝 所 有 来 自 邮 件 服务 器 的 流量 ,导致 网 
内 机 器 不 能 接受 外 部 发 来 的 邮件 ,下 一 代 IDS 产品 能 够 识别 这 种 自发 的 DoS 攻击 ,并 且 
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降低 发 生 概率 。 

(3) 应 用 级 攻击 防护 机 制 : 这 是 一 种 针对 被 保护 力度 低 的 应 用 程序 (如 即时 通信 工 
具 、VolIP 等 ) 发 起 的 攻击 ,攻击 造成 的 后 果 非 常 严重 。 下 一 代 IDS 产品 提供 深度 覆盖 技 
术 来 保护 脆弱 的 应 用 程序 免 遭 攻击 。 


”有 网 络 边界 防护 产品 一 防火 墙 


防火 墙 是 一 个 或 一 组 系统 ,它们 会 在 网 络 传输 通过 相关 的 访问 点 时 对 其 实施 一 套 访 
问 控制 策略 。 当 用 户 确定 了 要 提供 何 种 水 平 的 连接 之 后 ,就 由 防火 墙 来 保证 所 有 的 网 络 
用 户 都 遵守 访问 控制 策略 。 

防火 墙 的 目的 是 控制 网 络 传输 ,这 一 点 与 其 他 网 络 设 备 是 一 致 的 。 但 与 其 他 设备 不 
同 的 是 ,防火 墙 在 控制 网 络 信息 传输 时 必须 考虑 到 并 不 是 所 有 的 分 组 数据 都 是 表里如一 
的 。 例 如 ,网 桥 会 根据 分 组 信息 的 目标 MAC 地 址 来 过 滤 网 络 传输 。 如 果 一 台 主 机 标 错 
了 目标 MAC 地 址 ,网 桥 就 会 不 可 避免 地 把 分 组 发 送 到 错误 的 地 方 , 这 并 不 是 网 桥 出 错 了 
或 者 不 合格 ,而 是 网 桥 认为 主机 遵守 了 特定 的 网 络 规则 ,如 果 它 没有 遵守 , 则 是 主机 的 错 
误 ,不 是 网 桥 的 错误 。 

目前 ,国际 防火 墙 市 场 上 分 两 大 流派 ,以 Check Point 为 代表 的 软件 防火 墙 ,在 IDC 
的 市 场 分 析 报 告 中 认为 其 份额 高 达 60% 以 上 ; 以 NetScreen 公司 为 代表 的 ASIC 硬件 防 
火 墙 同样 不 甘 示弱 ,市 场 份额 多 年 位 居 第 三 。 这 两 类 防火 墙 各 有 千秋 ,它们 的 产品 发 展 方 
向 也 说 明了 未 来 防火 墙 的 发 展 。 此 外 ,其 他 的 一 些 主要 厂商 有 : Juniper 网 络 公 司 、 天 融 
信 等 。 


421 功能 特点 


目前 ,防火 墙 的 类 型 或 者 其 实现 形式 主要 有 以 下 四 类 : 嵌入 式 防 火 墙 、 软 件 防火 墙 、 
硬件 防火 墙 应 用 程序 防火 墙 。 

1 嵌入 式 防 火 墙 

当 防 火 墙 功能 被 集中 到 路 由 器 或 者 交换 器 中 的 时 候 ,这 个 防火 墙 就 称 为 嵌入 式 防火 
墙 。 这 种 防火 墙 又 称 为 节 流 防火 墙 ,通常 只 对 分 组 信息 进行 IP 级 的 无 状态 检查 ,这样 可 
以 获得 较 高 的 性 能 ,但 有 较 高 的 使 危险 代码 通过 的 机 会 。 

2 软件 防火 墙 

软件 防火 墙 本 身 又 有 两 种 不 同 的 类 型 : 一 种 是 企业 级 防火 墙 用 来 在 大 型 网 络 上 执行 
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路 由 选择 功能 ; 另 一 种 是 SOHO( 如 Small Office .Home Office、 小 型 办 公 、 家 庭 办 公 ) 级 。 
软件 防火 墙 通常 会 提供 全 面 的 防火 墙 功能 ,可 以 安装 在 服务 器 硬件 及 操作 系统 (如 
Linux、Unix 或 Windows 2000) 之 上 。 


3 硬件 防火 墙 

又 称 为 设备 防火 墙 ,设计 为 一 种 总 体系 统 。 总 体系 统 不 需要 复杂 的 安装 或 者 配置 就 
可 以 提供 防火 墙 服务 。 硬 件 防火 墙 与 软件 防火 墙 相似 ,可 以 针对 企业 应 用 市 场 来 设计 ,也 
可 以 针对 SOHO 环境 。 


4 应 用 程序 防火 墙 

应 用 程序 防火 墙 经 常 是 作为 现 有 硬件 或 者 软件 防火 墙 的 组 件 实现 的 。 它 们 的 主要 目 
的 是 提供 一 种 复杂 的 内 容 过 滤 层次 ,用 来 对 在 应 用 层 传输 的 数据 进行 过 滤 。 随 着 防火 墙 
功能 的 提高 ,对 于 数据 的 过 滤 已 经 越 来 越 多 地 集中 到 了 应 用 层 ,应 用 程序 防火 墙 的 针对 性 
也 越 来 越 强 。 


422 主要 技术 


目前 ,大 多 数 防火 墙 都 采用 几 种 功能 相 结合 的 形式 来 保护 自己 的 网 络 不 受 恶 意 传 输 
的 攻击 。 其 中 最 流行 的 技术 有 : 静态 分 组 过 滤 、 动 态 分 组 过 滤 、 状 态 过 滤 和 代理 服务 器 。 


1 静态 分 组 过 滤 

静态 分 组 过 滤 使 用 分 组 报头 中 存储 的 信息 控制 网 络 传输 。 当 过 滤 设 备 接收 到 分 组 
时 ,把 报头 中 存储 的 数据 属性 与 访问 控制 策略 ( 称 为 访问 控制 表 (ACL)) 对 比 。 根 据 对 比 
结果 的 不 同 ,决定 该 信息 被 丢弃 ,还 是 允许 它 通 过 。 

静态 分 组 过 滤 可 以 使 用 下 列 信息 管理 网 络 传输 : 

(1) 目标 系统 的 IP(Internet Protocol, 网 际 互联 协议 ) 地 址 或 子 网 。 

(2) 源 系统 的 IP 地 址 或 子 网 。 

(3) 目标 服务 端口 。 

(4) 源 服务 端口 。 

(5) 标志 (只 用 于 TCP) 。 

静态 分 组 过 滤 是 一 种 智能 型 过 滤 设 备 , 它 对 高 级 攻击 提供 的 保护 很 少 。 它 只 查看 很 
少 的 一 些 信息 来 确定 哪些 传输 应 该 放行 ,哪些 传输 应 该 阻塞 。 许多 路 由 器 都 有 具有 进行 静 
态 分 组 过 滤 的 能 力 。 


2 动态 分 组 过 滤 
动态 分 组 过 滤 比 静态 分 组 过 滤 更 进一步 , 它 可 以 维护 一 份 连接 表 来 监视 通信 会 话 的 
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状态 ,而 不 是 简单 地 依靠 标志 的 设置 。 这 是 一 种 强大 的 功能 ,可 以 用 来 更 好 地 控制 网 络 传 
输 流 。 

例如 ,假设 一 个 攻击 者 向 系统 发 送 了 一 个 分 组 ,其 中 的 数据 设计 用 来 破坏 该 系统 。 攻 
击 者 会 使 用 一 些 分 组 欺骗 手段 使 某 个 分 组 看 起 来 更 像 是 对 内 部 系统 发 送 的 信息 的 回复 。 
普通 的 分 组 过 滤器 会 分 析 这 个 分 组 ,发 现 ACK 位 为 1, 并 因此 而 上 当 , 认 为 是 对 某 个 数据 
请 求 的 回复 ,顺利 地 放行 ,使 之 进入 内 部 网 络 。 但 动态 分 组 过 滤器 不 会 这 么 轻易 上 当 。 当 
它 接收 到 该 信息 时 ,动态 分 组 过 滤器 会 查找 自己 的 连接 表 ( 有 时 称 为 状态 表 ) ,查找 结果 表 
明 , 内 部 网 络 根 本 没有 发 出 这 种 数据 请 求 。 由 于 没有 明显 地 请 求 该 信息 ,因而 动态 分 组 过 
滤 会 把 它 丢 进 垃圾 站 。 

动态 分 组 过 滤 是 一 种 根据 分 组 的 属性 和 状态 表 进 行 网 络 传输 控制 决策 的 智能 型 设 
备 。 状 态 表 使 得 防火 墙 设备 可 以 “记录 ”前 面 发 生 的 通信 分 组 交换 过 程 ,并 且 根 据 这 些 辅 
助 信息 进行 判断 。 

动态 分 组 过 滤 的 最 大 缺陷 是 不 能 根据 实际 传输 的 数据 内 容 进 行 判断 。 为 了 对 数据 内 
容 进行 过 滤 , 用 户 必须 使 用 基于 代理 服务 器 的 防火 墙 。 


3 状态 过 滤 

状态 过 滤 技 术 提高 了 动态 分 组 过 滤器 的 功能 。 它 的 状态 规则 是 针对 具体 的 协议 的 ， 
记录 着 会 话 的 上 下 文 信息 (而 不 仅仅 是 会 话 的 状态 ) 。 这 样 就 使 得 过 滤 规 则 能 够 区 分 各 种 
无 连接 协议 ,如 UDP、NFS (Network File System, 网 络 文件 系统 ) 和 RPC (Remote 
Procedure Call ,远程 过 程 调用 ) 。 由 于 这 些 无 连接 协议 本 身 的 特性 ,使 得 它们 无 法 被 静态 
分 组 过 滤 技 术 管理 ,并 且 也 不 能 得 到 动态 分 组 过 滤 技术 的 准确 识别 。 

状态 过 滤 技 术 最 大 的 优势 在 于 为 动态 分 组 过 滤 处 理 提供 了 维护 应 用 程序 状态 的 能 
力 ,而 不 仅仅 是 维护 连接 状态 。 应 用 程序 信息 可 以 使 一 位 此 前 经 过 了 身份 验证 的 用 户 再 
创建 新 的 连接 而 不 需要 重新 进行 授权 ,而 连接 状态 则 只 在 一 个 会 话 期 间 维护 着 授权 信息 。 

使 用 这 种 技术 的 示例 可 以 是 一 个 防火 墙 , 它 人 允许 根 据 每 个 用 户 的 身份 验证 来 确定 是 
和 否 人 允许 它 进 行内 部 访问 。 

4 代理 服务 器 

代理 服务 器 (有 时 称 为 应 用 程序 网 关 或 存储 转发 器 ) 是 一 种 调节 两 个 网 络 段 之 间 的 信 
息 传输 的 应 用 程序 。 有 了 代理 服务 器 作为 调节 者 , 源 系统 和 目标 系统 就 永远 不 会 直接 “ 连 
接 ” 起 来 。 代 理 服 务 器 在 所 有 的 连接 尝试 中 都 扮演 中 间 人 的 角色 。 

与 对 应 的 分 组 过 滤器 不 同 , 代 理 服务 器 不 对 任何 网 络 传输 选择 路 由 。 实 际 上 ,配置 正 
确 的 代理 服务 器 会 把 所 有 的 路 由 选择 功能 关闭 。 正 如 其 名 称 所 示 ,代理 服务 器 是 每 个 系 
统 中 各 方 防火 墙 的 代言 人 。 
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由 于 代理 服务 器 必须 “理解 ”使 用 的 应 用 程序 协议 ,所 以 它们 也 可 以 实现 针对 协议 的 
安全 保护 。 

另外 ,有 一 种 不 完善 的 代理 服务 器 称 为 插入 网 关 。 它 们 不 是 真正 的 代理 服务 器 ,因为 
它们 不 能 够 理解 所 支持 的 应 用 程序 。 插 入 网 关 只 能 提供 简单 的 指定 服务 端口 连接 ,与 动 
态 分 组 过 滤 相 比 没有 什么 优点 。 

运行 代理 服务 器 客户 软件 有 许多 优点 。 首 先是 容易 配置 ,只 需要 有 合法 的 IP 地 址 和 
子 网 掩 码 就 可 以 配置 。 另 外 ,代理 服务 器 客户 程序 也 可 以 提供 透明 的 身份 验证 ,以 根据 用 
户 名 和 口令 核实 出 站 连接 尝试 是 否 合法 。 


423 部 署 


防火 墙 的 具体 部 署 方法 要 视 具体 情况 ,综合 应 用 性 能 、 价 格 和 安全 保障 需求 进行 折 中 
处 理 。 一 般 地 ,在 网 络 边 界 上 和 网 络 内 部 部 署 防火 墙 , 需 要 考虑 的 问题 明显 不 同 。 


1. 部 署 边界 防火 墙 
设置 边界 防火 墙 的 正确 位 置 应 该 在 内 部 网 络 与 外 部 网 络 之 间 。 防 火 墙 设置 在 此 位 置 
上 ,防火 墙 的 内 外 网 卡 分 属于 内 部 和 外 部 网 段 。 内 部 网 络 和 外 部 网 络 被 完全 隔离 开 , 所 有 
来 自 外 部 网 络 的 服务 请 求 只 能 到 达 防 火 墙 ,防火 墙 对 收 到 的 数据 包 进行 分 析 后 将 合法 的 
请 求 传送 给 相应 的 服务 主机 ,对 于 非法 访问 加 以 拒绝 。 内 部 网 络 的 情况 对 于 外 部 网 络 的 
用 户 来 说 是 完全 不 可 见 的 。 由 于 防火 墙 是 内 部 网 络 和 外 部 网 络 的 唯一 通信 信道 ,因此 防 
火 墙 可 以 对 所 有 针对 内 部 网 络 的 访问 进行 详细 的 记录 ,形成 完整 的 日 志文 件 。 防 火 墙 要 
保护 的 网 络 与 外 部 网 络 应 该 具有 唯一 的 连接 通路 ,如 果 防 火 墙 后 还 有 其 他 通路 ,防火墙 将 
被 短路 ,无 法 完成 保护 内 部 网 络 的 工作 。 如 果 内 部 网 络 有 多 个 外 部 连接 ,就 应 该 在 每 个 人 
口 处 都 放置 防火 墙 。 
设置 边界 防火 墙 可 以 有 效 地 防范 来 自 外 部 网 络 的 攻击 。 设 置 防火 墙 后 内 部 网 与 外 部 
网 进行 了 有 效 地 隔离 ,所 有 来 自 外 部 网 络 的 访问 请 求 都 要 通过 防火 墙 的 检查 ,安全 有 了 很 
大 的 提高 。 
边界 防火 墙 可 以 完成 以 下 具体 任务 。 
通过 源 地 址 过 滤 ,拒绝 外 部 非法 IP 地 址 ,有 效 地 避免 了 外 部 网 络 上 与 业务 无 关 的 主 
机 的 越权 访问 ,防火墙 可 以 只 保留 有 用 的 服务 ,将 其 他 不 需要 的 服务 关闭 ,可 将 系统 受 攻 
击 的 可 能 性 降低 到 最 小 限度 ,使 黑客 无 机 可 乘 。 边 界 防火 墙 可 以 制定 访问 策略 ,只 有 被 授 
权 的 外 部 主机 可 以 访问 内 部 网 络 的 有 限 的 IP 地 址 ,保证 外 部 网 络 只 能 访问 内 部 网 络 中 必 
要 的 资源 ,与 业务 无 关 的 操作 将 被 拒绝 。 由 于 外 部 网 络 对 DMZ 区 主机 的 所 有 访问 都 要 
经 过 防火 墙 ,防火 墙 可 以 全 面 监视 外 部 网 络 对 内 部 网 络 的 访问 活动 ,并 进行 详细 的 记录 ， 
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通过 分 析 可 以 得 出 可 疑 的 攻击 行为 。 对 于 远程 登录 的 用 户 ,如 TELNET 等 ,防火 墙 利用 
加 强 的 认证 功能 ,可 以 有 效 地 防止 非法 入 侵 。 安 装 边界 防火 墙 后 ,网 络 的 安全 策略 由 防火 
墙 集中 管理 ,因此 黑客 无 法 通过 更 改 某 一 台 主机 的 安全 策略 来 达到 控制 其 他 资源 访问 权 
限 的 目的 。 边 界 防火 墙 可 以 进行 地 址 转换 工作 ,外 部 网 络 不 能 看 到 内 部 网 络 的 结构 ,使 黑 
客 攻击 失去 目标 。 以 上 内 容 充分 说 明 ,企业 的 计算 机 网 络 安装 边界 防火 墙 后 ,可 以 实现 内 
部 网 络 与 外 部 网 络 的 有 效 隔离 ,防止 来 自 外 部 网 络 的 非法 攻击 。 同 时 ,保证 了 DMZ 区 服 
务 器 的 相对 安全 性 和 使 用 便利 性 。 


2 部 署 内 部 防火 墙 

企业 的 计算 机 网 络 是 一 个 多 层次 .多 结 点 ,多 业务 的 网 络 , 各 结 点 间 的 信任 程度 较 低 ， 
但 由 于 业务 的 需要 ,各 结 点 和 服务 器 群 之 间 又 要 频繁 的 交换 数据 。 通 过 在 服务 器 群 的 和 人 
口 处 设置 内 部 防火 墙 ,可 以 制定 完善 的 安全 策略 ,有 效 地 控制 内 部 网 络 的 访问 ,具体 可 以 
实现 以 下 功能 。 

内 部 防火 墙 可 以 精确 制定 每 个 用 户 的 访问 权限 ,保证 内 部 网 络 用 户 只 能 访问 必要 的 
资源 。 对 于 拨号 备份 线路 的 连接 ,通过 强大 的 认证 功能 ,实现 对 远程 用 户 的 管理 。 内 部 防 
火 墙 可 以 记录 网 段 间 的 访问 信息 ,及 时 发 现 误 操 作 和 来 自 内 部 网 络 其 他 网 段 的 攻击 行为 。 
防火 墙 通过 安全 策略 的 集中 管理 ,每 个 网 段 上 的 主机 不 必 再 单独 设立 安全 策略 ,降低 人 为 
因素 导致 的 网 络 安全 问题 。 

例如 ,如 图 4-2-1 所 示 ,天 融 信 防火 墙 在 某 校园 网 络 的 应 用 中 ,就 结合 该 用 户 的 具体 
情况 和 应 用 需求 ,部署 了 边界 防火 墙 , 内 网 保护 服务 器 群 防 火 墙 ,并 对 原 有 的 边界 防火 墙 
实现 了 再 利用 。 

其 中 ,边界 防火 墙 的 配置 .内 网 保护 服务 器 群 防火 墙 的 配置 和 对 原 有 边界 防火 墙 的 再 
利用 的 具体 实现 方法 分 别 如 下 。 

边界 防火 墙 的 配置 : 由 于 在 该 校园 网 络 边界 处 已 经 配备 的 防火 墙 可 能 不 支持 
TOPSEC 联动 协议 ,因此 将 此 防火 墙 更 换 掉 用 于 其 他 网 络 部 分 ,如 可 以 放置 在 910 层 计 
算 机 实验 室 的 出 口 处 用 于 保护 学 生 上 网 时 对 教学 区 .图 书馆 网 络 的 非法 访问 。 根 据 网 络 
具体 流量 情况 ,采用 型 号 为 NGFW4000, 支 持 TOPSEC 联动 协议 ,标准 配置 三 接口 的 防 
火 墙 ,其 最 大 并 发 连接 数 将 近 60 万 个 ,其 中 两 个 接口 分 别 接 外 网 和 内 网 两 个 网 段 ,第 三 个 
口 可 以 作为 预 留 。 

内 网 保护 服务 器 群 防火 墙 的 配置 : 整个 校园 网 中 的 资源 信息 服务 器 群 是 整个 网 络 数 
据 保 护 的 关键 ,因此 必须 在 其 级 联 的 P333T 交换 机 与 核心 交换 机 P550R 处 配备 一 台 能 
够 支持 TOPSEC 联动 协议 的 ,高 性 能 天 融 信 网 络 卫士 防火 墙 4000 系统 ,用 于 对 内 部 服务 
器 群 的 访问 和 联动 保护 。 此 处 建议 采用 型 号 为 NGFW4000-S 标准 配置 三 个 接口 的 防火 

111 


ee 第 4 章 主要 信息 安全 产品 ES 


交换 机 交换 机 
学 生 ... 学 生 教师 教师 图 书馆 应 用 库 Web 服 务 器 DNS 应 用 
上 网 上 网 办 公 办公 服务 器 服务 器 


图 4-2-1 天 融 信和 防火墙 部 署 案例 


墙 ,其 最 大 并 发 连接 数 达到 60 万 个 ,一 个 接口 接 核 心 交 换 机 ,一 个 接口 接 级 联 交换 机 , 另 
一 个 接口 作为 预 留 接口 。 从 而 实现 对 内 部 服务 器 群 的 访问 控制 保护 。 

对 原 有 边界 防火 墙 的 再 利用 : 由 于 原来 的 边界 防火 墙 不 支持 TOPSEC 联动 协议 ,把 
它 替 换 后 可 以 将 其 放置 在 910 层 的 计算 机 实验 室 网 络 的 出 口 处 ,用 于 保护 其 对 教学 网 和 
图 书馆 网 络 系统 的 访问 控制 。 


424 局 限 性 


虽然 防火 墙 在 网 络 安全 中 的 应 用 越 来 越 广泛 ,但 是 防火 墙 并 不 是 万 能 的 , 它 有 很 多 先 
天 的 局 限 性 ,例如 : 

(1) 不 能 防范 不 经 过 防火 墙 的 攻击 。 没 有 经 过 防火 墙 的 数据 ,防火 墙 无 法 检查 。 

(2) 不 能 解决 来 自 内 部 网 络 的 攻击 和 安全 问题 。 防 火 墙 可 以 设计 为 既 防 外 也 防 内 ， 
谁 都 不 可 信 ,但 绝 大 多 数 单位 因为 不 方便 ,不 要 求 防火 墙 防 内 。 

(3) 不 能 防止 策略 配置 不 当 或 错误 配置 引起 的 安全 威胁 。 防 火 墙 是 一 个 被 动 的 安全 
策略 执行 设备 ,就 像 门卫 一 样 ,要 根据 政策 规定 来 执行 安全 ,而 不 能 自作 主张 。 
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(4) 不 能 防止 可 接触 的 人 为 或 自然 的 破坏 。 防 火 墙 是 一 个 安全 设备 ,但 防火 墙 本 身 
必须 存放 于 一 个 安全 的 地 方 。 

(5) 不 能 防止 利用 标准 网 络 协议 中 的 缺陷 进行 的 攻击 。 一 旦 防火 墙 准许 某 些 标准 网 
络 协议 ,防火墙 不 能 防止 利用 该 协议 中 的 缺陷 进行 的 攻击 。 

(6) 不 能 防止 利用 服务 器 系统 漏洞 所 进行 的 攻击 。 黑 客 通过 防火 墙 准许 的 访问 端口 
对 该 服务 器 的 漏洞 进行 攻击 ,防火 墙 不 能 防止 。 

(7) 不 能 防止 受 病毒 感染 的 文件 的 传输 。 防火墙 本 身 并 不 具备 查 杀 病 毒 的 功能 , 即 
使 集成 了 第 三 方 的 防 病毒 软件 ,也 没有 一 种 软件 可 以 查 杀 所 有 的 病毒 。 

(8) 不 能 防止 数据 驱动 式 的 攻击 。 当 有 些 表面 看 来 无 害 的 数据 邮寄 或 复制 到 内 部 网 
的 主机 上 并 被 执行 时 ,可 能 会 发 生 数 据 驱 动 式 的 攻击 。 

(9) 不 能 防止 内 部 的 泄密 行为 。 防 火 墙 内 部 的 一 个 合法 用 户主 动 泄密 ,防火 墙 是 无 
能 为 力 的 。 

(10) 不 能 防止 本 身 的 安全 漏洞 的 威胁 。 防 火 墙 能 保护 别人 有 时 却 无 法 保护 自己 , 目 
前 还 没有 一 家 厂商 能 绝对 保证 防火 墙 不 会 存在 安全 漏洞 ,因此 对 防火 墙 也 必须 提供 某 种 
安全 保护 。 

此 外 ,防火 墙 还 具有 一 些 脆弱 性 ,例如 : 

(1) 防火 墙 的 操作 系统 不 能 保证 没有 漏洞 。 目 前 还 没有 一 家 防火 墙 厂商 说 ,其 防火 
墙 没 有 操作 系统 。 有 操作 系统 就 不 能 绝对 保证 没有 安全 漏洞 。 

(2) 防火 墙 的 硬件 不 能 保证 不 失效 。 所 有 的 硬件 都 有 一 个 生命 周期 ,都 会 老化 ,总 有 
失效 的 一 天 。 

(3) 软件 不 能 保证 没有 漏洞 。 防 火 墙 软件 也 是 软件 ,是 软件 就 会 有 漏洞 。 

(4) 无 法 解决 TCP/IP 等 协议 的 漏洞 。 防 火 墙 本 身 就 是 基于 TCP/IP 等 协议 来 实现 
的 ,就 无 法 解决 TCP/IP 操作 的 漏洞 。 

(5) 无 法 区 分 恶意 命令 还 是 善意 命令 。 有 很 多 命令 对 管理 员 而 言 ,是 一 项 合法 命令 ， 
而 在 黑客 手 里 就 可 能 是 一 个 危险 的 命令 。 

(6) 无 法 区 分 恶意 流量 和 善意 流量 。 一 个 用 户 使 用 PING 命令 ,用 作 网 络 诊断 和 网 
络 攻 击 , 从 流量 上 是 没有 差异 的 。 

(7) 安全 性 与 多 功能 成 反比 。 多 功能 与 防火 墙 的 安全 原则 是 背道而驰 的 。 因 此 , 除 
非 确信 需要 某 些 功能 ,否则 ,应 该 功能 最 小 化 。 

(8) 安全 性 和 速度 成 反比 。 防 火 墙 的 安全 性 是 建立 在 对 数据 的 检查 之 上 ,检查 越 细 
越 安全 ,但 检查 越 细 速 度 越 慢 。 

(9) 多 功能 与 速度 成 反比 。 防 火 墙 的 功能 越 多 ,对 CPU 和 内 存 的 消耗 越 大 ,功能 越 
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多 ,检查 的 越 多 ,速度 越 慢 。 
(10) 无 法 保证 准许 服务 的 安全 性 。 防 火 墙 准 许 某 项 服务 , 却 不 能 保证 该 服务 的 安全 
性 。 准 许 服务 的 安全 性 问题 必须 由 应 用 安全 来 解决 。 


425 发 展 趋势 


防火 墙 技术 已 经 从 包 过 滤 防 火 墙 和 应 用 网 关 防 火 墙 步 和 人 状态 检测 防火 墙 。 未 来 防火 
墙 技术 的 发 展 趋势 包括 : 使 用 网 络 处 理 器 等 专用 硬件 构建 高 性 能 网 络 安全 计算 平台 ,从 
而 满足 吉 比 特 网 络 带宽 的 性 能 需求 ;从 简单 的 IP 端口 过 滤 向 更 高 层 协议 的 应 用 防护 方向 
发 展 , 结 合 入 侵 检测 技术 对 数据 包 进行 有 状态 的 深度 检测 ;采用 分 布 式 防火 墙 技术 对 内 部 
网 络 进行 划分 ,对 每 个 相对 独立 的 区 域 实 施 独立 的 安全 策略 和 访问 控制 机 制 等 。 

未 来 防火 墙 的 发 展 趋势 是 向 高 速 .多 功能 化 ,更 安全 的 方向 发 展 。 

从 国内 外 历次 测试 的 结果 都 可 以 看 出 ,目前 防火 墙 一 个 很 大 的 局 限 性 是 速度 不 够 高 。 
应 用 ASIC、FPGA 和 网 络 处 理 器 是 实现 高 速 防火 墙 的 主要 方法 ,其 中 以 采用 网 络 处 理 器 
最 优 ,因为 网 络 处 理 器 采用 微 码 编程 ,可 以 根据 需要 随时 升级 ,甚至 可 以 支持 IPv6 ,而 采 
用 其 他 方法 就 不 那么 灵活 。 

如 果 要 实现 高 速 防 火 墙 ,算法 也 是 一 个 关键 ,因为 网 络 处 理 器 中 集成 了 很 多 硬件 协 处 
理 单元 ,因此 比较 容易 实现 高 速 。 对 于 采用 纯 CPU 的 防火 墙 ,就 必须 有 算法 支撑 ,例如 
ACL 算法 。 目 前 有 的 应 用 环境 , 动 加 应 用 数 百 妃 至 数 万 条 规则 ,没有 算法 支撑 ,对 于 状态 
防火 墙 , 建 立会 话 的 速度 会 十 分 缓慢 。 

受 现 有 技术 的 限制 ,目前 还 没有 对 应 用 层 进行 高 速 检测 的 有 效 方法 ,也 没有 任何 一 
芯片 能 做 到 这 一 点 。 因 此 ,防火 墙 不 适宜 于 集成 内 容 过 滤 、 防 病毒 和 IDS 为 能 (传输 以 
下 的 IDS 除外 ,这 些 检测 对 CPU 消耗 小 )。 对 于 IDS, 目 前 最 常用 的 方式 还 是 把 网 络 上 的 
流量 镜像 到 IDS 设备 中 进行 处 理 ,这 样 可 以 避免 流量 较 大 时 造成 网 络 堵塞 。 此 外 ,应 用 
层 漏洞 很 多 ,攻击 特征 库 需 要 频繁 升级 ,对 于 处 在 网 络 出 口 关 键 位 置 的 防火 墙 ,如 此 频繁 
地 升级 也 是 不 现实 的 。 

这 里 还 要 提 到 日 志 问 题 ,根据 国家 有 关 标 准 和 要 求 ,防火墙 日 志 要 求 记录 的 内 容 相当 
多 。 随 着 网 络 流量 越 来 越 大 ,数据 规模 庞大 的 日 志 记 录 对 日 志 服 务 器 提出 了 很 高 的 要 求 。 
目前 ,业界 应 用 较 多 的 SYSLOG 日 志 , 采 用 的 是 文本 方式 ,每 一 个 字符 都 需要 一 个 字 节 ， 
对 防火 墙 的 带宽 也 是 一 个 很 大 的 消耗 。 二 进 制 日 志 可 以 大 大 减 小 数据 传送 量 , 也 方便 数 
据 库 的 存储 、 加 密 和 事后 分 析 。 所 以 ,支持 二 进 制 格式 和 相应 的 日 志 数 据 库 , 是 未 来 防火 
墙 日 志和 日 志 服 务 器 软件 的 一 个 基本 要 求 。 

多 功能 也 是 防火 墙 的 发 展 方向 之 一 。 鉴 于 目前 路 由 器 和 防火 墙 价格 都 比较 高 ,组 网 
环境 也 越 来 越 复杂 ,一 般 用 户 总 希望 防火 墙 可 以 支持 更 多 的 功能 ,满足 组 网 便捷 和 节省 投 
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资 的 需要 。 例 如 ,防火 墙 支持 广域网 口 ,并 不 影响 安全 性 ,但 在 某 些 情况 下 却 可 以 为 用 户 
节省 一 台 路 由 器 ;防火 墙 支持 部 分 路 由 器 协议 ,如 路 由 、 拨 号 等 ,可 以 更 好 地 满足 组 网 需 
要 ;防火 墙 支持 IPSec VPN ,可 以 利用 Internet 组 建安 全 的 专用 通道 , 既 安全 又 节省 了 租 
用 或 者 自 建 专线 的 投资 。 

未 来 防火 墙 的 操作 系统 会 更 安全 。 随 着 算法 和 芯片 技术 的 发 展 ,防火 墙 会 更 多 地 参 
与 应 用 层 分 析 ,为 应 用 提供 更 安全 的 保障 。 


4.3 网 络 连接 防护 产品 
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在 安全 路 由 器 市 场 上 ,目前 的 主要 三 商 有 : 面向 大 型 用 户 的 思科 、 华 为 .3COM ,以 中 
小 型 用 户 为 主 的 深圳 市 欣 朗 润 通讯 技术 有 限 公 司 ( 开 发 阿尔 法 产品 系列 ) 。 这 些 厂 商 的 产 
品 具有 一 个 共同 点 , 那 就 是 : 逐渐 地 融合 了 防火 墙 功能 ,或 者 网 络 管理 功能 。 


431 局 限 性 


安全 路 由 器 产品 的 局 限 性 主要 体现 在 传统 的 路 由 器 产品 的 局 限 性 方面 。 

路 由 器 分 本 地 路 由 器 和 远程 路 由 器 ,本 地 路 由 器 是 用 来 连接 网 络 传输 介质 的 ,如 光 
纤 、 同 轴 电 缆 、 双 绞 线 ;远程 路 由 器 是 用 来 连接 远程 传输 介质 ,并 要 求 相 应 的 设备 ,如 电话 
线 要 配 调制 解 调 器 ,无 线 要 通过 无 线 接收 机 、 发 射 机 。 

一 般 地 ,路 由 器 具有 判断 网 络 地 址 和 选择 路 径 的 功能 ,能 在 多 网 络 互联 环境 中 ,建立 
灵活 的 连接 ,可 用 完全 不 同 的 数据 分 组 和 介质 访问 方法 连接 各 种 子 网 ,只 接受 源 站 或 其 他 
路 由 器 的 信息 , 属 网 络 层 的 一 种 互联 设备 。 因 此 , 它 不 关心 各 子 网 使 用 的 硬件 设备 ,但 要 
求 运行 与 网 络 层 协议 相 一 致 的 软件 。 

选择 最 佳 路 径 的 策略 即 路 由 算法 是 路 由 器 的 关键 所 在 ,这 主要 通过 路 径 表 (routing 
table) 实 现 。 路 径 表 中 保存 子 网 的 标志 信息 、 网 上 路 由 器 的 个 数 和 下 一 个 路 由 器 的 名 字 
等 内 容 。 路 径 表 可 以 是 由 系统 管理 员 固定 设置 好 的 ,也 可 以 由 系统 动态 修改 ,可 以 由 路 由 
器 自动 调整 ,也 可 以 由 主机 控制 。 路 径 表 主要 有 两 类 : 

1) 静态 路 径 表 

由 系统 管理 员 事先 设置 好 固定 的 路 径 表 称 之 为 静态 (static) 路 径 表 , 一 般 是 在 系统 安 
装 时 就 根据 网 络 的 配置 情况 预先 设 定 的 , 它 不 会 随 未 来 网 络 结构 的 改变 而 改变 。 

2) 动态 路 径 表 

动态 (dynamic) 路 径 表 是 路 由 器 根据 网 络 系统 的 运行 情况 而 自动 调整 的 路 径 表 。 路 
由 器 根据 路 由 选择 协议 (routing protocol) 提供 的 功能 ,自动 学 习 和 记忆 网 络 运行 情况 ,在 
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需要 时 自动 计算 数据 传输 的 最 佳 路 径 。 

路 由 器 的 优点 是 : 适用 于 大 规模 的 网 络 ;复杂 的 网 络 拓扑 结构 ,负载 共享 和 最 优 路 
径 ;能 更 好 地 处 理 多 媒体 ;安全 性 高 ;隔离 不 需要 的 通信 量 ; 节 省 局 域 网 的 频 宽 ; 减 少 主机 
负担 。 

路 由 器 的 缺点 是 : 不 支持 非 路 由 协议 ,安装 复杂 ,价格 高 。 


432 发 展 趋势 
安全 路 由 器 产品 的 发 展 与 传统 的 路 由 器 产品 的 发 展 主要 具有 三 个 共性 ,分 别 是 : 


1. 速度 更 快 

近 几 年 对 路 由 器 的 研究 重点 体现 在 提高 路 由 器 的 处 理 速 度 上 。1996 一 1997 年 间 ， 
美国 出 现 了 一 批 极 具 创 新 精神 的 小 公司 ,如 Nexabit、Juniper、Avici 等 ,把 路 由 器 的 处 理 
速度 提高 到 了 登峰造极 的 地 步 , 连 Cisco 公司 在 速度 方面 都 只 能 望 其 项 背 。 由 于 这 些 
高 速 路 由 器 无 一 例外 地 都 引入 了 交换 的 结构 ,因此 它们 也 被 称 作 吉 比特 交换 路 由 器 
(Gigabit Switch Router,GSR) 。 这 些 路 由 器 的 光 接 口 速度 也 很 快 从 OC-12(622Mb/s) 
升 到 OC-48(2.5Gb/s) ,再 升 到 OC-192(10Gb/s) ,把 ATM 交换 机 远 远 地 甩 在 后 面 , 旷 
日 持久 的 耳 与 ATM 技术 之 争 终于 以 IP 占 压 倒 性 的 优势 结束 。 两 种 优秀 的 技术 逐渐 
开始 融合 。 

IP 路 由 器 速度 的 急剧 提高 来 源 于 以 下 四 个 方面 的 技术 进展 : 

1) 硬件 体系 结构 的 改进 

路 由 器 的 硬件 体系 结构 大 致 经 历 了 6 次 变化 ,从 最 早期 的 单 总 线 . 单 CPU 结构 发 展 
到 单 总 线 、 多 CPU 再 到 多 总 线 多 CPU。 到 现在 ,高 速 IP 路 由 器 中 多 借鉴 ATM 的 方法 ， 
采用 交叉 开关 方式 实现 各 端口 之 间 的 线 速 无 阻塞 互 连 。 高 速 交 叉 开 关 的 技术 已 经 十 分 成 
熟 , 在 ATM 和 高 速 并 行 计算 机 中 早已 得 到 广泛 的 应 用 ,市 场 上 可 直接 购买 到 的 高 速 交叉 
开关 的 速率 就 高 达 50Gb/s。 伴 随 着 高 速 交 叉 开 关 的 引入 ,也 同时 引入 了 一 些 相应 的 技术 
问题 ,特别 是 针对 IP 多 播 、 广 播 以 及 服务 质量 (QoS) ,采用 成 熟 的 调度 策略 和 算法 ,这 些 
问题 都 得 到 了 很 好 的 解决 。 

2) ASIC 技术 的 采纳 

出 于 成 本 和 性 能 的 考虑 ,这 些 年 ASIC 应 用 越 来 越 广泛 。 在 网 络 设备 这 一 领域 ,出 现 
了 “可 编程 ASIC”。 目 前 ,有 两 种 类 型 的 所 谓 “ 可 编程 ASIC”。 一 种 以 3COM 公司 的 
FIRE(Flexible Intelligent Routing Engine) 芯 片 为 代表 ,这 颗 ASIC 芯片 中 内 艇 了 一 颗 
CPU, 因 而 具有 一 定 的 灵活 性 ; 另 一 种 以 Vertex Networks 的 HISC 专用 芯片 为 代表 ,该 
芯片 是 一 颗 专 门 为 通信 协议 处 理 的 CPU ,其 体系 结构 的 设计 专门 适应 协议 处 理 , 通 过 改 
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写 微 代码 ,可 使 这 颗 专 用 芯片 具有 处 理 不 同 协议 的 能 力 , 以 适应 类 似 从 IPv4 到 IPv6 的 

3) 3 层 交 换 技 术 的 出 现 

这 是 协议 处 理 过 程 的 一 次 革命 性 突破 ,也 是 现在 GSR 和 TSR 名 称 的 来 源 。 自 从 名 
不 见 经 传 的 Ipsilon 公司 在 1994 年 推出 “一 次 路 由 ,然后 交换 ”的 IP Switch 技术 之 后 ,各 
大 公司 纷纷 推出 自己 专 有 的 3 层 交 换 技 术 。 如 Cisco 的 Tag Switch、3Com 的 Label 
Switch 等 。 综 合 这 些 专 有 技术 的 优点 ,IETF 终于 在 1998 年 推出 了 性 能 优越 的 多 协议 标 
记 交 换 (MPLS) 。 

4) IP over SDH,IP over DWDM 

这 方面 的 技术 进展 完全 源 于 光纤 通信 技术 的 进展 。 随 着 IP 的 核心 地 位 逐渐 被 认同 ， 
IP over ATM, 然 后 ATM over SDH 的 方式 被 IP 直接 over SDH 的 方式 取代 。SDH 采 
用 时 分 复 用 的 方式 承载 多 路 数据 。 因 此 在 核心 网 中 需 大 量 采用 复 用 器 交叉 连接 器 ， 
DWDM( 密 集 波 分 复 用 ) 使 得 一 根 光纤 上 可 用 不 同 的 波长 传送 多 路 信和 号。 


2 提升 服务 质量 

路 由 器 在 速度 上 的 提高 仍 只 不 过 是 为 了 适应 数据 流量 的 急剧 增加 。 而 路 由 器 发 展 趋 
势 更 本 质 、 更 深刻 的 变化 是 : 以 IP 为 基础 的 包 交 换 数 据 将 在 未 来 几 年 内 迅速 取代 已 发 展 
了 近 百 年 的 电路 交换 通信 方式 ,成 为 通信 业务 模式 的 主流 。 这 意味 着 ,IP 路 由 器 将 逐步 
提供 原 电信 网 络 所 提供 的 种 种 业务 。 但 是 传统 的 IP 路 由 器 并 不 关心 也 不 知道 IP 包 的 业 
务 类 型 ,一般 只 是 按 先 进 先 出 的 原则 转发 数据 包 ,语音 电 话 、 实 时 视频 ,因特网 浏览 等 各 种 
业务 类 型 的 数据 都 被 不 加 区 分 地 对 待 。 由 此 可 见 ,IP 路 由 器 要 想 提供 包括 电信 广播 在 
内 的 所 有 业务 ,提高 服务 质量 是 其 关键 。 


3 管理 更 加 智能 化 

随 着 网 络 流量 的 爆炸 式 增长 和 网 络 规模 日 益 膨胀 ,以 及 对 网 络 服务 质量 的 要 求 越 
来 越 高 的 情况 ,各 厂家 网 络 管理 的 一 个 重要 发 展 趋势 是 向 智能 化 方向 发 展 ,主要 体现 
在 两 个 方面 ,一 是 网 络 设备 (路 由 器 ) 之 间 信 息 交 互 的 智能 化 ;二 是 网 络 设备 与 网 络 管 
理 者 之 间 信息 交互 的 智能 化 。 其 中 ,“ 基 于 策略 的 管理 ”和 “流量 工程 ”这 两 个 技术 最 引 
人 注目 。 

“基于 策略 的 管理 "将 同时 影响 路 由 器 之 间 和 路 由 器 与 网 络 管理 者 之 间 的 信息 交互 行 
为 模式 ,使 网 络 管理 者 更 易于 从 用 户 的 角度 去 定义 和 约束 网 络 行为 ,而 这 些 上 层 策略 将 直 

影响 网 络 基本 行为 ,使 传统 的 路 由 算法 发 展 为 基于 策略 的 路 由 算法 ,也 使 路 由 器 之 间 的 

信息 交互 必须 包含 相应 的 策略 内 容 。 

“流量 工程 ?是 核心 网 运营 商 最 关心 的 问题 。 新 的 协议 如 MPLS 在 解决 标记 交换 的 
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同时 ,也 提供 了 一 个 很 好 的 解决 “流量 工程 ”的 方法 , 即 通过 路 由 器 之 间 交 互 各 端的 流量 状 
态 等 信息 ,用 收敛 算法 计算 一 段 时 间 内 网 络 中 标记 的 显 式 路 径 ,约束 最 短路 径 优先 算法 被 
采用 以 使 整个 网 络 的 流量 在 每 一 段 时 间 内 尽量 保持 均衡 。 


44 ”网 络 连接 防护 产品 


安全 网 关 


441 功能 


网 关 (gateway) 是 连接 两 个 协议 差别 很 大 的 计算 机 网 络 时 使 用 的 设备 。 它 可 以 将 具 
有 不 同体 系 结构 的 计算 机 网 络 连接 在 一 起 。 在 OSL/RM 中 ,网 关 属 于 最 高 层 ( 应 用 层 ) 的 
设备 ,分 为 两 类 : 面向 连接 的 网 关 和 无 连接 的 网 关 。 当 两 个 子 网 之 间 有 一 定 距离 时 ,往往 
将 一 个 网 关 分 成 两 半 , 中 间 用 一 条 链 路 连接 起 来 ,我 们 称 之 为 半 网 关 。 面 向 连接 的 网 关 用 
于 虚拟 电路 网 络 的 互联 ,例如 ,实现 X. 25 与 X. 75 协议 间 的 互联 。 无 连接 的 网 关 用 于 数 
据 报 网 络 的 互联 。 

安全 网 关 是 在 传统 网 关 设 备 的 基础 上 侧重 实现 网 络 连接 中 的 安全 性 ,在 功能 上 体现 
为 实现 内 容 过 滤 、 邮 件 过 滤 、 防 病毒 等 。 

目前 ,国内 外 已 有 很 多 安全 网 关 生 产 厂商 和 产品 ,我 国 主要 的 安全 网 关 生 产 厂商 有 : 
冠 群 金 展 、 卓 尔 伟 业 、 上 海 格 尔 等 。 

例如 ,上 海 格 尔 软件 股份 有 限 公司 开 发 的 格 尔 SSL 安全 认证 网 关 是 一 台独 立 网 关 型 
服务 器 设备 , 它 将 应 用 服务 器 隔离 在 一 个 私有 网 段 ,采用 数字 证 书 进行 双向 的 身份 认证 ， 
在 客户 端 与 服务 端 之 间 建 立 128 位 的 加 密 安全 通道 ,实现 客户 端 和 服务 端的 数据 安全 传 
输 和 客户 身份 的 有 效 认 证 。 

冠 群 金 展 公司 专 为 企业 级 用 户 设 计 的 网 关 级 安全 过 滤 设 备 KILL 过 滤 网 关 (KILL 
Shield Gateway,KSG) ,可 以 全 面 防范 计算 机 病毒 传播 . 阻 断 蠕虫 攻击 .拦截 垃圾 邮件 、 控 
制 网 络 非法 访问 。 它 采用 多 层 过 滤 ( 网 络 层 、 传 输 层 、 应 用 层 ) ,深度 内 容 分 析 、 智 能 关联 等 
技术 策略 ,基于 HTTP、FTP、SMTP、POP3 等 标准 协议 对 网 络 数据 进行 过 滤 , 可 有 效 提 
升 网 络 环境 的 安全 状况 ,为 业务 持续 运行 提供 有 力 保障 。 根 据 用 户 的 不 同 需要 ,KSG 可 
实现 内 网 综合 保护 .关键 网 段 保护 .邮件 系统 保护 .网 络 隔离 等 ,如 图 4-4-1 所 示 。 

该 产品 定位 在 多 功能 的 综合 过 滤 网 关 , 提 供 全 面 的 网 络 内 容 安 全 保护 。 根 据 对 网 络 
数据 内 容 的 处 理 能 力 ,KSG 产品 型 号 划分 为 : 100 型 .500 型 .3000 型 .5000 型 ,可 满足 不 
同 规模 的 用 户 需要 。 其 产品 功能 见 表 4-4-1。 
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KILL 过 小 网 关 a 


图 4-4-1 冠 群 金属 KILL 过 滤 网 关 应 用 示意 


表 4-4-1 冠 群 金 搬 KILL 过 滤 网 关 功 能 
属性 | 功能 类 别 功能 项 功能 描述 


蠕虫 过 滤 采用 完整 的 KILL 蠕虫 库 ,在 应 用 层 过 滤 蠕虫 体 

蠕虫 过 滤 | 蠕虫 阻 断 通过 对 数据 包 的 特征 分 析 , 在 传输 层 识 别 和 拦截 蠕虫 攻击 

端口 封锁 可 通过 封锁 蠕虫 攻击 端口 方式 ,紧急 防御 大 规模 蠕虫 爆发 事件 
病毒 引擎 KILL 防 病毒 引擎 

病毒 类 型 邮件 病毒 文件 病毒 .恶意 网 页 代码 、 木 马 后 门 

智能 识别 深度 内 容 分 析 ,智能 识别 文件 类 型 .压缩 格式 ,防止 伪装 形式 病毒 
规则 过 滤 可 定义 病毒 特征 和 过 滤 规 则 ,识别 特殊 病毒 ,未 知 病毒 . 突 发 病毒 
依据 IP 地 址 .邮件 地 址 ,域名 ,邮件 大 小 、 群 发 数量 .邮件 跳 数 . 邮 
件 嵌 套 、 附 件数 量 、 附 件 类 型 文件 名 等 进行 过 滤 

安全 智能 过 沪 MIME 编码 检查 ,FRC821 规范 检查 .HELO 标志 分 析 .DNS 反 查 、 
特性 自动 禁止 Open Relay、 贝 叶 斯 技术 ,智能 识别 垃圾 文本 


黑白 名 单 RBL、 邮 件 黑 名 单 .IP 白 名 单 

SMTP 认证 “| 通过 SMTP 认证 识别 邮件 来 源 ,避免 大 量 转发 垃圾 邮件 

伪装 邮件 检查 | 通过 邮件 地 址 和 邮件 用 户 绑 定 方式 ,确保 发 件 的 真实 性 

邮件 隔离 提供 可 疑 邮件 隔离 功能 ,最 终 用 户 可 从 隔离 区 找 回 或 彻底 删除 邮件 
关键 字 过 滤 ”| 对 邮件 主题 ,发 件 人 、 收 件 人 、 正 文 .附件 等 进行 关键 字 过 滤 

URL 过 滤 可 定义 URL 地 址 黑白 名 单 ,禁止 或 允许 对 某 些 网 页 的 访问 

包 过 滤 实现 基于 源 / 目 的 IP 地 址 、 源 /目的 端口 .协议 的 数据 包 过 滤 

网 络 防御 | 连接 限制 并 发 连接 限制 .连接 速率 限制 .连接 频率 限制 

带宽 保护 动态 异常 流量 控制 技术 优化 网 络 性 能 ,限制 带宽 资源 占用 


病毒 过 滤 


规则 过 滤 


垃圾 邮件 
过 滤 


内 容 过 滤 
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续 表 
属性 | 功能 类 别 功能 项 功能 描述 
工作 模式 | 连接 方式 透明 模式 (串联 ) 
网 络 网 络 协议 IP 
特性 | 支持 协议 | 传输 协议 TCP.UDP.ICMP 
应 用 协议 SMTP.POP3.FTP.HTTP 


配置 管理 采用 B/S 结构 ,支持 HTTPs 方式 的 Web 管理 
在 线 帮助 在 配置 管理 过 程 中 ,提供 在 线 帮助 功能 


系统 管理 
系统 维护 支持 SSH 方式 的 远程 维护 管理 
状态 监视 可 实时 监视 系统 运行 状态 .系统 负荷 .过 滤 状态 
日 志 记录 KSG 全 面 记录 多 种 日 志 信 息 , 定 期 或 按 需 下 载 到 日 志 报表 系统 
管理 日 志 分 析 提供 基于 IP/ 邮 件 地 址 ,协议 威胁、 规则 ,时段 等 过 滤 分 析 报告 
特性 | 日 志 审 计 


独立 报表 系统 | 采用 独立 工作 的 日 志 报 表 系统 ,最 大 限度 保证 KSG 网 关 过 滤 效 率 
报警 对 安全 威胁 事件 和 违反 策略 的 行为 进行 报警 ,可 邮件 通知 管理 员 
特征 码 升级 ”| 病毒 库 、 蠕 虫 库 、 垃 圾 邮件 规则 库 自 动 更 新 

系统 更 新 | 系统 升级 支持 系统 内 核 的 在 线 升级 

升级 方式 支持 FTP.HTTP 升 级 方式 (通过 Internet 从 冠 群 金 展 服 务 器 更 新 ) 


442 发 展 趋势 


安全 应 用 不 仅 要 求 安全 产品 可 以 满足 客户 目前 的 需要 ,而 且 还 要 求 它们 能 够 在 安全 
问题 迅速 变化 的 未 来 及 时 适应 新 的 需求 。 从 国际 安全 技术 发 展 趋势 看 ,安全 网 关 的 未 来 
发 展 有 如 下 几 个 特点 ， 

(1) 结合 专用 操作 系统 。 为 了 持续 发 展 自家 产品 ,并 充分 发 挥 公司 长 期 的 知识 积累 ， 
国际 上 大 的 安全 厂商 一 般 都 有 专业 的 操作 系统 ,如 Cisco 的 IOS;Juniper (Netscreen ) 防 
火 墙 系列 产品 使 用 操作 系统 Screen OS, NOKIA 公司 的 IP 系列 产品 使 用 自己 的 IPSO。 
设计 使 用 专用 的 操作 系统 ,目的 是 能 为 客户 提供 更 专业 更 安全 的 系统 ,并 能 逐步 发 展 一 些 
核心 的 技术 ,从 而 拥有 知识 产权 上 的 优势 ,自己 专用 的 系统 可 以 方便 未 来 为 适应 新 的 需求 

(2) 硬件 化 和 芯片 化 。 软 件 形态 的 网 关 也 逐步 被 硬件 形态 的 产品 代替 ,新 兴 防 垃圾 
邮件 和 防 病 毒 的 网 关 也 大 都 以 硬件 的 方式 出 现 。 例 如 ,传统 的 Checkpoint 公司 通过 和 

120 


Eee 4.5 网 络 连接 防护 产品 


VPN m= 


NOKIA 的 合作 来 提供 软 硬 一 体 的 防火 墙 产品 。 为 获得 更 高 的 性 能 ,传统 的 基于 CPU 的 
软件 数据 处 理 方式 也 在 向 由 芯片 处 理 或 网 络 处 理 器 进行 处 理 的 方向 发 展 。 信 息 安全 产业 
的 高 速 发 展 , 吸 引 了 一 些 大 的 芯片 厂商 的 关注 ,对 于 系统 资源 消耗 比较 大 的 计算 也 都 改 由 
一 些 高 速 芯 片 进 行 处 理 。 例 如 ,在 某 些 CPU、NPU 或 ASIC 芯片 中 就 直接 集成 了 加 解密 
处 理 模 块 。 

(3) 硬件 平台 多 样 化 。 为 适应 各 种 安全 需要 ,以 及 产品 定位 的 不 同 ,各 厂家 的 网 关 产 
品 的 硬件 平台 出 现 了 多 样 发 展 的 趋势 ,有 基于 通用 CPU 的 x86 架构 的 .ASIC 架构 的 ,以 
及 目前 比较 热门 的 基于 网 络 处 理 器 (NPU) 架 构 , 还 有 一 些 直接 使 用 嵌入 式 芯 片 作为 主 处 
理 器 的 架构 ,如 基于 Power PC、MIPS、ARM 等 嵌入 式 CPU 架构 的 ,以 及 采用 各 种 技术 
进行 组 合 的 架构 。 不 同 的 体系 结构 各 有 各 的 特色 。 

(4) 基于 通用 CPU 的 x86 架构 。 一 般 采 用 Intel 或 AMD 公司 的 芯片 ,x86 在 架构 系 
统 时 还 需要 北桥 和 南 桥 芯 片 组 ,采用 该 种 硬件 架构 , 软 硬 件 配套 资源 比较 多 ,便于 快速 推 
出 产品 ,企业 投资 少 ,同时 功能 基本 都 由 软件 实现 ,产品 比较 灵活 ,但 基于 x86 技术 平台 受 
PCI 总 线 带 宽 和 CPU 处 理 能 力 的 限制 ,很 难 满足 高 速 环境 的 要 求 , 同 时 CPU 和 外 围 芯片 
组 发 热 比较 大 ,产品 寿命 和 稳定 性 难以 保证 。 

国际 上 少数 公司 采用 基于 ASIC 架构 的 设计 ,成 为 安全 网 关中 的 亮点 。 该 种 架构 产 
品 性 能 高 ,稳定 性 好 ,规模 生产 后 价格 比较 低 , 但 开发 基于 ASIC 的 产品 要 求 的 投资 非常 
大 ,技术 门槛 高 ,没有 一 定 实力 的 厂家 很 难 开发 这 样 的 产品 。 

这 几 年 来 基于 NPU 架构 来 设计 安全 产品 也 成 为 热门 话题 ,Intel.AMCC 、Broadcom、 
IBM、Agere 等 芯片 厂商 都 推出 了 网 络 处 理 器 芯片 ,采用 NPU 来 架构 安全 网 关 , 投 资 要 比 
开发 ASIC 低 很 多 ,同时 可 以 设计 出 比较 高 性 能 产品 ,但 相对 于 ASIC 架构 ,网 络 处 理 一 
般 采 用 多 个 微 引 擎 或 多 核 并 行 处 理 , 微 引擎 执行 的 是 微 码 , 微 码 具 有 可 编程 性 ,所 以 NPU 
架构 要 比 ASIC 架构 灵活 ,但 在 稳定 性 上 则 不 如 主要 功能 由 芯片 来 实现 的 ASIC 稳定 ; 同 
时 NPU 的 产业 标准 尚 需 完善 ,产业 供应 链 还 需 进一步 发 展 。 
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目前 国内 外 已 有 很 多 VPN 生产 厂商 和 产品 ,国内 主要 的 VPN 生产 厂商 有 奥 联 科 
技 , 深 信服 科技 , 赛 蓝 科技 等 。 
451 主要 技术 


目前 ,用 于 企业 内 部 自 建 VPN 的 主要 技术 有 两 种 一 一 IPSec VPN 和 SSL VPN， 
IPSec VPN 和 SSL VPN 主要 解决 的 是 基于 互联 网 的 远程 接 入 和 互 连 ,虽然 在 技术 上 来 
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说 ,它们 也 可 以 部 署 在 其 他 的 网 络 上 (如 专线 ) ,但 那样 就 失去 了 其 应 用 的 灵活 性 ,它们 更 
适用 于 商业 客户 等 对 价格 特别 敏感 的 客户 。 

针对 IPSec VPN 和 SSL VPN 两 种 技术 ,一般 认为 ,虽然 目前 企业 应 用 最 广泛 的 是 
IPSec VPN ,在 未 来 的 几 年 中 IPSec 的 市 场 份额 将 下 降 , 而 SSL VPN 将 逐渐 上 升 。 相 比 
较 而 言 , 二 者 的 特点 如 表 4-5-1 所 示 。 


表 4-5-1 IPSec VPN 和 SSL VPN 的 对 比 


IPsec VPN SSL VPN 
。 使 用 方便 ,不 需要 配置 ,可 以 立即 安装 和 使 用 
上 。 无需 客户 端 ,直接 使 用 内 嵌 的 SSL 协议 ,而 且 几 
优点 | 。 服务 质 量 训 乎 所 有 的 浏览 器 都 支持 SSL 协议 
。 方便 拨号 用 户 使 用 。 兼容 性 好 ,支持 个 人 计算 机 .PDA、 智 能 /3G 手机 


等 一 系列 终端 设备 及 大 量 移动 用 户 接 入 的 应 用 


。 网络 不 能 觉察 到 i :在 
全 点 | 有 作 和 对 生计 册 放下 存在 | 只 适 合 Site-toLAN( 点 对 网 ) 的 连接 ,无 法 解决 


。 组 建 及 维护 成 本 较 高 LAN to LAN VPN 需求 


用 户 在 考虑 采用 哪 种 技术 时 经 常会 遇 到 两 难 的 选择 , 即 安全 性 与 方便 使 用 的 冲突 。 
只 有 用 户 明确 了 自己 的 需求 ,才能 选择 到 适合 自己 的 解决 方案 。 

IPSec VPN 比较 适合 中 小 型 企业 。 这 类 企业 拥有 较 多 的 分 支 机 构 , 并 通过 VPN 隧 
道 进行 站 点 之 间 的 连接 ,交换 大 容量 的 数据 。 企 业 有 一 定 的 规模 ,并 且 在 IT 建设 .管理 
和 维护 方面 拥有 一 定 经 验 的 员工 。 企 业 的 数据 比较 敏感 ,要 求 安全 级 别 较 高 。 企 业 员工 
不 能 随便 通过 任意 一 台 计 算 机 就 访问 企业 内 部 信息 ,移动 办 公 员 工 的 笔记 本 计算 机 要 配 
置 防火 墙 和 杀毒 软件 。 

SSL VPN 更 适合 那些 需要 很 强 灵 活性 的 企业 ,员工 需要 在 不 同 地 点 都 可 以 轻易 地 访 
问 公司 内 部 资源 ,并 可 能 通过 各 种 移动 终端 或 设备 。 企 业 的 IT 维护 水 平 较 低 , 员 工 对 IT 
技术 了 解 甚 少 ,并 且 IT 方 面 的 投资 不 多 。 


452 发 展 趋势 
随 着 VPN 技术 的 发 展 ,其 产品 的 发 展 趋势 主要 体现 在 以 下 几 个 方面 。 


1 结合 目录 服务 功能 
下 一 代 VPN 的 最 主要 部 件 是 目录 服务 器 ,主要 用 于 存放 端 用 户 的 信息 及 网 络 配置 
数据 ,目录 服务 器 决定 了 未 来 VPN 的 发 展 方向 , 它 既 可 以 运行 于 由 VPN 提供 控制 的 公 
用 网 的 某 一 部 分 ,也 可 以 作为 运行 于 公司 网 络 的 一 个 平台 。VPN 的 设备 与 内 容 都 可 在 专 
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用 网 与 公用 网 上 进行 复制 ,公司 的 网 络 可 以 横 跨 网 络 公共 服务 设施 。 因 此 ,传统 公用 网 与 
专用 网 的 界线 已 经 变 得 模糊 。 

这 些 载 有 整个 公司 用 户 相 关 资 料及 网 络 配置 的 目录 应 该 置 于 用 户 或 网 络 运行 中 心 
NOC 的 安全 区 内 。 这 个 安全 区 是 进一步 开发 VPN 的 基础 , 它 主要 由 策略 服务 器 与 认证 
服务 器 组 成 。 策 略 服务 器 根据 公司 的 规则 制定 访问 策略 ,认证 服务 器 则 负责 公 钥 认证 及 
其 他 有 关 安 全 任务 。 另 外 ,VoIP 网 关 也 可 以 置 于 上 述 安全 区 内 。 网 络 如 果 具 有 上 述 安 全 
机 制 、 网 络 目录 及 服务 质量 (QoS) 的 保证 ,那么 端 用 户 就 可 以 建立 用 于 远程 教育 .远程 医 
疗 及 虚拟 会 议 的 VPN 连接 了 。 


2 实现 QOS 

为 实现 上 述 VPN ,首先 需要 解决 QoS 问题 。 基 于 策略 的 网 络 提供 这 样 一 种 QoS 方 
案 , 策 略 服务 器 装载 有 关 应 用 及 网 络 资源 的 信息 ,动态 地 确定 端 用 户 如 何 访问 应 用 程序 。 
由 于 QoS 要 求 提供 跨越 LAN 与 WAN 的 端 对 端的 服务 ,增加 了 问题 的 复杂 性 。 

在 高 速 主干 网 上 真正 实现 QoS 也 有 很 多 工作 有 待 完 成 。 某 些 Internet 服务 提供 商 
(Internet Server Provider,ISP) 在 设法 将 QoS 提供 到 用 户 桌 面 。 但 问题 是 , 当 端 用 户 退 出 某 
一 特定 电话 公司 的 VPN 时 ,QoS 的 保证 也 将 丢失 。 另 一 个 问题 是 ,目前 还 没有 可 行 的 技术 
能 够 对 那些 跨越 多 个 VPN 的 信息 包 进 行 跟踪 与 收费 。 此 外 ,ISP 还 应 考虑 计 费 的 可 行 性 。 


3 安全 性 

安全 是 VPN 关注 的 核心 。 目 前 ,VPN 的 安全 保证 主要 是 通过 使 用 防火 墙 技术 .路 由 
器 并 配 之 以 网 络 隧 道 (Tunnels) 加密 协议 及 安全 密 钥 加 以 实现 ,这 些 足 以 保证 移动 端 用 
户 及 远程 用 户 安全 地 访问 公司 网 络 。 但 是 ,因为 这 需要 所 有 的 设备 都 必须 使 用 相同 的 安 
全 协议 ,实现 起 来 非常 困难 。 另 外 ,认证 与 访问 工作 也 都 需 由 公司 IT 部 门 的 一 个 中 心 设 
备 所 管理 ,因此 也 排除 了 用 户 动 态 请 求 加 入 VPN 的 可 能 ,而 该 项 功能 又 是 外 部 网 所 必需 
的 , 随 着 用 户 的 退出 、 加 入 等 变动 的 增加 ,其 维护 开销 也 将 增 大 。 

上 述 方 法 将 被 一 种 灵活 的 、 可 伸缩 性 的 .并 具有 互 操 作 性 的 安全 服务 ,如 PKI 和 IKE 
(Internet 密 钥 交换 ) 技 术 所 取代 。PKI 的 简化 版 本 SPKI 将 简化 目前 PKI 所 使 用 的 层次 
验证 机 制 。 


46 ”本 地 环境 保护 产品 
软件 
恶意 代码 防范 软件 市 场 是 当前 国内 通用 软件 界 发 展 的 最 好 的 一 部 分 ,市 场 占有 率 相 


对 很 高 。 虽 然 盗版 软件 目前 还 比较 泛滥 ,但 购买 正版 杀毒 软件 的 用 户 也 大 有 人 在 。 目 前 
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国内 市 场 上 的 杀毒 软件 厂商 主要 有 瑞星 、. 江 民 、 金 山 .诺顿 .卡巴 斯 基 ,趋势 等 。 


461 国产 产品 的 局 限 性 


从 一 些 国 内 信息 安全 论坛 (例如 绅 博 、 中 天 ,安防 、 卡 饭 等 ) 中 可 以 看 出 ,与 国外 杀毒 软 
件 产品 相 比 , 人 们 对 国产 杀毒 软件 的 评价 基本 都 令 人 失望 ,主要 集中 在 以 下 几 个 方面 : 首 
先是 对 于 新 病毒 和 一 些 变种 病毒 的 识别 和 杀 除 能 力 相 对 国外 产品 较 差 ,其 次 是 系统 资源 
占用 过 高 ,还 有 就 是 杀毒 和 监测 引擎 不 够 成 熟 稳定 ,系统 实时 监测 的 速度 太 慢 。 

究 其 原因 ,除了 主观 因素 , 主要 是 国内 厂商 不 能 够 像 一 些 国 际 厂商 那样 拥有 
Microsoft 操作 系统 的 底层 代码 这 一 客观 原因 ,造成 了 国产 软件 安装 之 后 和 Microsoft 操 
作 系 统 之 间 存 在 一 定 的 兼容 问题 ,并 进一步 带 来 了 系统 不 稳定 的 问题 。 

由 于 国产 杀毒 软件 目前 对 付 病毒 的 方式 主要 是 采用 特征 码 方式 ,因此 对 于 新 病毒 和 
变种 病毒 识别 能 力 很 一 般 。 据 了 解 ,2007 版 瑞星 杀毒 软件 的 引擎 进行 了 更 新 ,对 付 未 知 
病毒 的 能 力 应 该 会 有 不 小 的 进步 。 江 民 2007 内 置 了 部 分 HIPS( 主 机 入 侵 防 御 系 统 ) 功 
能 ,也 可 以 对 付 部 分 新 的 威胁 ,但 是 需要 用 户 进行 判断 ,对 用 户 的 操作 水 平 要 求 相对 较 高 。 


462 发 展 趋势 


近年 来 ,恶意 代码 防范 软件 经 历 了 从 单机 版 走向 网 络 版 ,再 到 网 关 杀 毒 的 发 展 。 

早 在 1995 年 ,趋势 网 关 防毒 技术 就 在 美国 申请 了 专利 。 但 此 后 的 几 年 ,用 户 并 没有 
太 多 关注 它 。 后 来 , 随 着 市 场 需求 的 推动 ,在 20 世纪 90 年 代 中 后 期 ,NAI, 赛 门 铁 克 、 趋 
势 等 国外 信息 安全 公司 的 有 关 技 术 已 经 相当 成 熟 , 我 国 的 冠 群 金 展 , 北 信 源 .瑞星 等 厂商 
也 推出 了 产品 ,网 关 杀 毒 市 场 日 趋 成 熟 。 

下 面 介绍 网 关 杀 毒 的 四 种 实现 方式 。 


1 基于 代理 服务 器 的 方式 
此 种 方式 主要 是 依靠 代理 服务 器 对 数据 进行 还 原 , 在 数据 通过 代理 服务 器 时 将 其 数据 
根据 不 同 协议 进行 还 原 , 再 利用 其 安装 在 代理 服务 器 内 的 扫描 引擎 对 其 进行 病毒 的 查 杀 。 


2 基于 防火 墙 协议 还 原 的 方式 
此 种 方式 主要 是 利用 防火 墙 的 协议 还 原 功能 ,将 数据 包 还 原 为 不 同 协议 的 文件 ,然后 
传送 到 相应 的 病毒 扫描 服务 器 进行 查 杀 ,扫描 后 再 将 该 文件 传送 回 防火 墙 进行 数据 传输 。 
病毒 扫描 服务 器 可 以 有 多 个 ,防火墙 内 的 防 病毒 代理 根据 不 同 协议 ,将 相应 的 协议 数据 转 
送 到 不 同 的 病毒 扫描 服务 器 。 一 般 来 讲 , 不 同 厂商 在 防火 墙 与 病毒 扫描 服务 器 之 间 进 行 
数据 交换 的 过 程 都 采用 各 自 的 协议 。 在 这 里 要 重点 说 明 的 是 ,并 不 是 具有 协议 还 原 功能 
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的 防火 墙 就 支持 网 关 防 病毒 产品 ,目前 此 类 产品 主要 支持 CVP 协议 的 防火 墙 (如 Check 
point 防火 墙 等 ) ,相对 优秀 的 产品 也 能 支持 PIX 等 其 他 防火 墙 。 由 于 其 主要 支持 CVP 
协议 的 防火 墙 ,而 国内 防火 墙 厂 商都 不 是 基于 CVP 标准 ,所 以 此 种 方式 的 网 关 防 病毒 产 
品 在 国内 尚 无 法 大 规模 地 应 用 。 


3 基于 邮件 服务 器 的 方式 

此 种 方式 也 可 认为 是 以 邮件 服务 器 为 网 关 , 在 邮件 服务 器 上 安装 相应 的 邮件 服务 器 
版 防 病毒 产品 。 邮 件 服务 器 版 防 病毒 产品 与 以 上 两 种 方式 又 不 相同 , 它 主要 是 通过 将 防 
病毒 程序 内 能 在 邮件 系统 内 (邮件 版 防 病毒 程序 一 般 是 以 邮件 系统 的 一 个 服务 而 存在 
的 ) , 它 在 进出 邮件 转发 前 对 邮件 及 其 附件 进行 扫描 并 清除 ,从 而 防止 病毒 通过 邮件 网 关 
进入 企业 内 部 。 目 前 ,邮件 版 防 病毒 产品 主要 支持 Exchange Server、Lotus Notes 和 以 
SMTP 协议 的 邮件 系统 。 


4 基于 信息 渡船 产品 的 方式 

此 种 方式 在 网 关 防 病毒 产品 中 很 少 有 人 提 到 ,原因 是 它 本 身 不 是 一 个 防 病毒 产品 ,但 
其 确实 能 够 实现 网 关 处 的 病毒 防护 。 信 息 渡船 俗称 * 网 疗 ”, 它 采用 GAP 技术 实现 ,在 产 
品 内 建立 信息 孤岛 ,通过 高 速 电子 开关 实现 数据 在 信息 孤岛 的 交换 。 用 户 只 需 在 信息 孤 
岛 内 安装 防 病毒 模块 ,就 可 实现 对 数据 交换 过 程 的 病毒 检测 与 清除 。 目 前 ,国内 一 些 安全 
公司 已 有 相应 的 产品 。 

上 面 四 种 实现 方式 虽然 不 同 ,但 最 终 对 数据 进行 扫描 都 是 通过 各 厂商 的 病毒 扫描 引 
擎 实现 的 ,也 就 是 说 ,与 该 厂商 其 他 防 病毒 产品 使 用 了 相同 的 扫描 引擎 和 病毒 库 , 这 也 大 
大 方便 了 网 关 防 病毒 产品 的 更 新 与 升级 。 

从 整体 讲 , 网 关 防 病毒 产品 只 是 防 病毒 产品 家 族 中 的 一 员 ,只 能 检测 进出 网 络 内 部 的 
数据 。 大 多 数 初级 网 关 防 病毒 产品 只 能 针对 HTTP、FTP、SMTP 三 种 协议 的 数据 进行 
病毒 扫描 ,不 能 够 支持 POP3 协议 。 这 类 网 关 防 病毒 产品 无 法 解决 整个 网 络 的 防 病毒 问 
题 ,并 有 效 制止 病毒 在 网 络 上 蔓延 ,必须 借助 于 一 个 有 层次 的 立体 化 的 防 病毒 体系 。 


4.7 ”本 地 环境 保护 产品 


密码 机 


密码 机 是 按照 一 定 的 程序 用 于 信息 加 密 和 解密 的 设备 。 密 码 机 由 密 钥 装置、 信息 输 

入 装置 编码 器 和 信息 输出 装置 组 成 。 加 密 是 将 输入 密码 机 中 的 明文 ,变换 成 以 一 定 代 码 
表示 的 字母 或 数字 组 成 的 随机 上 暗 码 , 暗 码 可 根据 具体 情况 ,利用 通信 技术 设备 、 邮 局 、 通 信 
人 员 等 任何 一 种 手段 传送 , 收 到 的 瞳 码 可 用 解密 密 钥 解密 。 密 码 机 要 求 有 固定 的 信道 ,也 
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可 以 与 保障 线路 的 设备 一 起 配套 使 用 。 

由 于 信息 社会 对 网 络 技术 的 依赖 ,各 种 通信 系统 向 数字 化 、 综 合 化 .智能 化 方向 迅速 
发 展 ,机 密 性 要 求 正在 从 纯 军事 、 外 交 领 域 进入 政府 、 商 业 和 其 他 许多 民用 领域 ,密码 机 的 
应 用 也 随 之 更 为 普及 。 

在 我 国 ,市 场 上 的 密码 机 产品 都 必须 事先 通过 国家 密码 主管 部 门 的 鉴定 和 审查 ,对 密 
码 机 的 使 用 也 有 相应 的 管理 规定 。 目 前 我 国 的 密码 机 生产 厂商 主要 有 卫士 通 、 兴 唐 、 联 想 
等 ,密码 机 产品 已 经 具有 系列 化 的 特点 ,自身 的 功能 也 日 趋 完善 。 同 时 ,由 于 不 同 信息 安 
全 产品 在 功能 上 的 融合 , 某 些 密码 机 产品 已 经 具备 了 VPN 产品 或 其 他 产品 的 一 些 功能 。 


471 功能 模块 


一 般 地 ,密码 机 主要 有 四 个 功能 模块 。 

(1) 硬件 加 密 部 件 : 硬件 加 密 部 件 的 主要 功能 是 实现 各 种 密码 算法 ,安全 保存 密 钥 ， 
例如 CA 的 根 密 钥 等 。 

(2) 密 钥 管理 菜单 : 通过 密 钥 管理 菜单 来 管理 主机 密码 机 的 密 钥 ,管理 密 钥 管理 员 
和 操作 员 的 口令 卡 。 

(3) 密码 机 后 台 进程 : 密码 机 后 台 进 程 接收 来 自前 台 API 的 信息 ,为 应 用 系统 提供 
加 密 ,数字 签名 等 安全 服务 ; pipe ttt 启动 模式 ,开机 后 自动 启动 。 

(4) 密码 机 监控 程序 和 后 台 监控 进程 : 密码 机 监控 程序 负责 控制 密码 机 后 台 进 程 并 
Reston tp mse ta dirs 

此 外 ,在 其 设计 中 还 必须 有 一 个 密码 机 前 台 API, 用 于 给 应 用 系统 提供 服务 接口 。 应 
用 系统 通过 密码 机 前 台 API 调用 其 加 密 服务 。 密 码 机 前 台 API 是 以 标准 C 库 的 形式 提 
供 。 目 前 密码 机 前 台 API 支持 的 标准 接口 有 : PKCS#11、Bsafe、CDSA 等 。 

密码 机 应 能 支持 目前 国内 外 常用 的 多 种 密码 算法 ,主要 有 : 

公 钥 密码 算法 : 有 RSA、DSA .Diffe Hellman 算法 ,椭圆 曲线 密码 算法 等 

对 称 密 码 算 法 : 有 SDBI、.DES、IDEA、SMS4、RC4、RC5 等 ; 

杂凑 算法 : 有 MD5 .SHA1 等 。 


472 分 类 


一 般 地 ,密码 机 分 为 客户 端 用 户 密码 机 和 服务 器 端 密码 机 ,后 者 又 可 分 为 单机 形式 的 
密码 机 和 分 布 式 密码 服务 机 。 

客户 端 用 户 密码 机 ,为 单 用 户 或 多 用 户 提供 高 端的 密码 服务 ,适合 于 政务 办 公 应 用 。 
它 通常 作为 密码 服务 器 ,通过 SOCKET 提供 安全 服务 ,具备 多 用 户 证 书 、 密 钥 等 的 管理 
功能 ,为 固定 G2G、G2E、G2B 安全 办 公 应 用 提供 低 成 本 、 高 性 能 的 安全 服务 。 

应 用 层 的 客户 端 密码 设备 ,应 能 达到 如 下 性 能 指标 : 
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(1) 公 钥 密码 算法 签名 速度 这 60 次 /s。 

(2) 公 钥 密码 算法 验证 速度 宇 480 次 /s。 

(3) 对 称 密码 算法 加 解密 速度 宇 10Mb/s。 

单机 形式 的 密码 机 (又 称 单机 形式 的 密码 服务 器 ) 为 特定 的 服务 器 提供 密码 服务 , 具 
有 处 理 速度 快 .安全 度 高 等 特点 。 作 为 服务 器 端的 密码 设备 , 它 应 达到 如 下 性 能 指标 : 

(1) 公 钥 密码 算法 签名 速度 之 2000 次 /s。 

(2) 公 钥 密码 算法 验证 速度 宇 16 000 次 /s。 

(3) 对 称 密码 算法 加 解密 速度 宇 100Mb/s。 

(4) 可 存储 的 密 钥 对 之 128 对 。 

例如 ,上 海 格 尔 软件 股份 有 限 公 司 开 发 的 SJW64 网 络 密码 机 ,主要 用 于 保证 公 网 和 
专 网 上 两 个 或 多 个 网 络 之 间 的 强身 份 认 证 及 数据 的 安全 传输 ,支持 标准 的 IPSec 协议 ,使 
用 PKI 证 书 认 证 技术 ,支持 国 密 办 加 密 芯 片 SSP02-A ,具备 很 高 的 安全 性 。 

分 布 式 密码 服务 机 作为 密码 服务 设备 ,采用 分 布 式 计算 技术 ,可 灵活 地 增加 密码 服务 
模块 ,实现 性 能 动态 地 根据 需求 平滑 扩展 , 且 不 影响 上 层 的 应 用 系统 。 具 有 处 理 速度 快 、 
稳定 性 高 .可 扩展 性 强 等 特点 。 适 合 于 对 速度 和 稳定 性 要 求 极 高 的 服务 器 使 用 ,如 数据 交 
换 中 心 。 

单机 应 能 达到 如 下 性 能 指标 : 

(1) 公 钥 密码 算法 签名 速度 宇 2000 次 /s。 

(2) 公 钥 密码 算法 验证 速度 之 16 000 次 /s。 

(3) 对 称 密码 算法 加 解密 速度 宇 100Mb/s。 

(4) 可 存储 的 密 钥 对 之 128 对 。 

例如 ,上 海 思 波 通讯 科技 有 限 公 司 开发 的 电子 支付 密码 器 系统 ,利用 计算 机 信息 加 密 
技术 ,通过 提供 全 套 的 密码 信息 ,实现 票据 的 鉴别 ,以 代替 传统 的 图 章 鉴别 方式 , 它 能 够 确 
保 银 行 资金 安全 ,加 快 资金 的 周转 结算 速度 ,广泛 应 用 于 银行 .保险 .企业 及 个 人 之 间 的 票 
据 鉴别 处 理 ,具有 安全 方便 高效 可靠. 易 扩 展 的 特点 。 北 京 三 生 先 捷 网 络 通讯 技术 有 
限 公 司 开 发 的 “安全 电子 邮件 ”产品 可 直接 对 电子 邮件 加 解密 .数字 签名 认证 .远程 加 密 传 
输 的 安全 系统 ,实现 了 点 对 点 相互 加 解密 、 服 务 器 对 客户 端 多 人 授权 解密 .一 人 对 多 人 授 
权 解 密 , 同 时 保存 了 密 保 “增强 版 ”的 全 部 功能 。 


48 ”基础 设施 安全 产品 


PKI/CA 


近年 来 ,PKI 技术 已 经 从 理论 研究 阶段 过 渡 到 产品 开发 阶段 ,市 场 上 也 陆续 出 现 了 比 
较 成 熟 的 产品 或 解决 方案 。 目 前 ,国际 上 PKI 的 生产 厂家 及 其 产品 很 多 ,代表 性 的 包括 
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Baltimore Technologies 公司 的 UniCERT,Entrust 公司 的 EntrustPKI5. 0, VeriSign 公 
司 的 OnSite。 另 外 ,包括 一 些 大 的 厂商 ,如 Microsoft、Netscape 和 Novell 等 ,也 已 开始 在 
自己 的 网 络 基础 设施 产品 中 增加 PKI 功能 。 

在 我 国 ,近年 来 ,信息 安全 国家 重点 实验 室 、 中 国 金融 认证 中 心 (CFCA) ,长 春 吉大 正 
元 公司 、 上 海 格 尔 软件 公司 ,北京 数字 证 书 认证 中 心 、 上 海 数 字 证 书 认 证 中 心 等 信息 安全 
研究 机 构 、 运 营 中 心 和 厂商 都 开发 了 各 自 的 CA 产品 。 

例如 ,信息 安全 国家 重点 实验 室 开发 的 LOIS PKI 系统 是 一 套 自主 的 .先进 的 ,功能 
较为 完善 的 .符合 国际 标准 并 能 兼容 自主 密码 算法 的 安全 的 国产 PKI 系统 。 在 该 系统 中 
提出 了 一 个 自主 的 、 完 整 的 PKI 应 用 模型 框架 ;针对 运营 级 PKI 系统 的 需求 ,研制 出 支持 
X. 509、PKIX、PKCS 系列 等 标准 的 入侵 容忍 的 CA 系统 ;明确 定义 了 PKI 实 体 的 概念 ,并 
基于 面向 对 象 的 思想 完成 了 PKI 实体 的 相关 分 析 与 设计 ;形成 了 PKI 最 小 互 操作 规范 等 
多 项 PKI 标 准 。 

上 海 宇 盟 信 息 科 技 有 限 公 司 开发 的 Unic PKI/CA™ 可 用 于 企业 级 标准 、 高 性 价 比 的 
PKI 实 现 方案 ,通过 自身 集成 或 第 三 方 的 可 信任 机 构 一 一 认证 中 心 (Certificate 
Authority,CA), 把 用 户 的 公 钥 和 用 户 的 标识 信息 (如 名 字 、E-mail、 身 份 证 号 等 ) 捆 绑 在 一 
起 ,为 网 络 提供 一 致 的 网 络 身份 认证 服务 ,并 可 为 零碎 的 点 对 点 的 ,特别 是 没有 互 操作 性 
的 解决 方案 ,引入 可 管理 的 安全 机 制 ,提供 可 跨越 多 个 应 用 和 计算 平台 的 一 致 安全 性 , 实 
现 * 应 用 支撑 ”的 功能 ,增强 应 用 程序 数据 交换 过 程 中 的 资源 安全 。 

北京 天 威 诚信 电子 商务 服务 有 限 公司 开发 的 多 服务 器 证 书 管理 系统 "服务 器 安 
证 通 以 经 济 有 效 地 方式 分 发 服务 器 证 书 ,为 标准 的 Web 网 站 或 整个 公司 提供 安全 
服务 。 对 于 需要 为 内 联网 .外 联网 .Web 服务 器 机 群 配置 5 台 或 更 多 服务 器 ,或 有 至 
多 4 个 不 同 域名 的 机 构 , 服 务 器 安 证 可 以 在 几 分 钟 内 给 几 十 至 上 百 台 服务 器 颁发 
证 书 。 

481 开发 模式 


目前 主要 有 两 种 不 同 的 PKI/CA 开发 模式 : 面向 产品 的 开发 模式 和 面向 服务 的 开发 
模式 。 

面向 产品 的 开发 模式 , 即 自 建 PKI/CA 模式 , 指 的 是 企业 购买 整套 的 PKI/CA 软件 ， 
然后 自行 建立 一 整套 相关 的 服务 体系 。 在 这 种 模式 下 ,企业 参与 建立 、 维 护 、 培 训 和 运营 
整个 PKI 过程 并 对 PKI 软件 所 有 事务 负 全 责 , 其 中 包括 系统 ,通信 数据库 ,物理 安全 、 网 
络 安全 配置 高 可 靠 性 的 元 余 设 计 、 灾 难 恢复 等 方面 ,也 包括 运营 系统 需要 的 PKI 专家 、 
法 律 .资金 等 方面 。 
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面向 服务 的 开发 模式 , 即 购买 PKI/CA 服务 的 模式 , 指 的 是 企业 利用 第 三 方 CA 服务 
提供 商 的 集成 PKI 平 台 ,通过 配置 和 管理 ,将 企业 端的 前 台 与 第 三 方 高 可 靠 性 、 高 安全 性 
的 PKI 后台 组 合 在 一 起 ,对 外 提供 证 书 服务 。 此 模式 下 ,企业 的 CA 被 托管 在 可 信 的 第 
三 方 ,复杂 、 专 业 的 PKI 核心 服务 及 维护 将 交 与 专业 的 第 三 方 CA 完成 ,企业 复杂 的 设备 
以 及 PKI 专家、 法 律 专家 ,不 需要 单独 承担 全 部 的 投资 与 风险 。 

面向 产品 的 自 建 CA 与 面向 服务 的 托管 CA 代表 着 两 种 不 同 的 开发 模式 。 针 对 
PKI/CA 的 建设 ,企业 需要 仔细 研究 后 选择 其 所 采取 的 模式 。 


482 发 展 趋势 


基于 产品 和 基于 服务 的 两 种 PKI/CA 开发 模式 ,是 PKI/CA 产品 的 生产 厂商 采用 的 
两 种 路 线 。 美 国 的 VeriSign 公司 .加拿大 的 Entrust 公司 和 爱尔兰 的 Baltimore 公司 是 
全 球 最 大 的 PKI 产品 /服务 提供 商 , 其 中 Entrust 和 Baltimore 都 是 面向 企业 提供 产品 的 
PKI 公司 ,它们 为 企业 提供 自 建 PKI 产品 的 商业 模式 。VeriSign 是 主要 面向 服务 的 PKI 
公司 ,它们 则 为 企业 提供 PKI 服务 的 商业 模式 。 

由 于 需要 由 企业 承担 全 部 的 投资 与 风险 ,市场 上 购买 独立 软件 自 建 的 PKI 市 场 份额 
在 迅速 缩小 。 相 对 而 言 , 采 用 基于 服务 的 PKI 服务 平台 ,建设 迅速 .共享 投资 .分 担 风 险 ， 
正在 成 为 目前 PKI 的 发 展 趋势 。 事 实 上 ,由 于 多 数 企 业 缺 乏 运 营 PKI/CA 的 经 验 和 资 
金 , 自 建 的 PKI/CA 中 有 40% 在 运营 中 出 现 了 问题 。 

基于 服务 的 PKI/CA 开发 模式 没有 上 述 局 限 性 。 这 一 点 ,通过 VeriSign 公司 在 全 球 
市 场 占 有 率 及 股市 表现 上 相对 Entrust 和 Baltimore 公司 表现 出 的 绝对 优势 得 到 了 充分 
证 明 , 见 表 4-8-1。 

在 我 国 , 自 建 PKI 和 基于 服务 的 PKI 共存 着 。 国 内 重复 建设 PKI/CA 的 现象 比较 明 
显 。 由 于 各 个 地 方 、 各 个 行业 都 希望 建立 自己 的 PKIL/CA, 目 前 在 我 国 基于 产品 的 
PKI/CA 还 有 相当 大 的 市 场 。 主 要 的 代表 性 企业 是 吉大 正 元 。 

从 行业 发 展 来 看 ,以 行政 管理 为 依据 的 PKI/CA 认证 中 心 已 经 面临 技术 维护 和 经 营 
管理 上 的 双重 困难 ,很 多 自 建 PKI/CA 的 实际 营运 处 于 停滞 状态 ;而 以 市 场 方式 运作 的 、 
独立 的 商务 PKI/CA 认证 服务 方式 正 逐 渐 成 为 主流 。 后 一 类 提供 PKI/CA 服务 的 公司 
的 代表 是 北京 天 威 诚信 公司 。 天 威 诚信 是 VeriSign 的 首要 合作 伙伴 ,学 习 吸 收 了 
VeriSign 的 技术 以 及 运营 管理 经 验 , 能 够 以 最 快 的 速度 .最 新 的 技术 .最 简便 的 方式 .最 
适宜 的 投入 ,解决 企业 在 线 商务 的 安全 问题 ,向 企业 提供 纯 商 业 的 PKI/CA 服务 。 

最 近 几 年 , 随 着 无 线 应 用 的 普及 ,PKI/CA 产品 也 有 了 新 的 发 展 ,出 现 了 无 线 PKI。 
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表 4-8-1 基于 服务 的 PKI/CA 和 自 建 PKI/CA 的 比较 


基于 服务 的 PKI/CA 


自 建 PKL/CA 


经 受 考 验 的 
PKI 技 术 


全 面 的 PKI, 提供 面向 全 球 24 X7 服务 的 
PKI 服务 中 心 ,具备 成 百 上 千 企 业 CA 建设 
的 经 验 , 整 个 系统 可 以 平滑 升级 


企业 设计 ,建设 和 配置 相关 的 支持 设施 ， 
并 承担 全 部 的 实施 风险 ,软件 提供 商 没 
有 PKI 运作 的 经 验 


适用 于 各 种 
开放 式 应 用 
系统 


面向 全 社会 的 PKI1/CA 需求 ,充分 考虑 各 种 
应 用 ,采用 开放 结构 及 工业 标准 ,与 标准 应 用 
无 颖 集成 


企业 只 关注 自己 的 应 用 , 常 需要 专门 的 
客户 端 软件 。 一 旦 应 用 范围 扩展 , 自 建 
CA 是 否 能 够 适应 新 的 应 用 需求 尚 不 
可 知 


建设 周期 


无 需 基础 建设 ,只 需 配置 完成 ,建设 时 间 很 
短 。 所 有 企业 管理 员 操作 都 通过 浏览 器 完 
成 ,员工 培训 时 间 短 ,相关 策略 和 制度 完善 ， 
即 可 开始 使 用 


需要 考虑 很 多 基础 设施 方面 的 内 容 , 包 
括 : 场地 ,服务 器 数据库.CA 策略 等 。 
整体 决策 时 间 长 ,从 装修 场地 ,购买 软 硬 
件 ,到 安装 调试 ,建设 周期 很 长 ,需要 专 
业 人 员 运 营 , 人 员 培 训 时 间 也 长 


安全 性 


具有 分 7 层 的 物理 设施 安全 ,提供 生物 识别 
访问 控制 ,24 小 时 摄像 检测 ,建筑 加 固 、 气 态 
防火 、 网 络 入 侵 检 测 、 系 统 安全 和 审计、 漏洞 扫 
描 、\ 病 毒 防护 .安全 服务 等 内 容 。 按 照 国际 标 
准 制定 专业 安全 制度 ,安全 策略 ,提供 可 信 的 
雇员 调查 


企业 需要 自行 考虑 CA 的 物理 安全 以 及 
网 络 安全 ,这 种 设计 专业 程度 不 高 ,质量 
不 高 ,价格 却 不 菲 。 企 业 自 行 制定 CA 
运营 的 制度 与 策略 ,经 验 可 能 不 足 


可 靠 性 


提供 24X7 的 可 靠 服务 ,采用 了 网 络 线路 . 电 
源 、 服 务 器 宛 余 设计 、 系 统 备份 与 灾难 恢复 、 
第 三 方 审计 。 另 外 ,服务 CA 采用 客户 保障 
计划 ,为 服务 提供 保险 赔偿 ,降低 用 户 风险 


企业 自行 考虑 系统 的 可 靠 性 ,并 自行 承 
担 操作 风险 。 由 于 资金 等 原因 ,往往 自 
建 CA 系统 的 可 靠 性 得 不 到 保证 


可 扩展 性 


对 于 企业 是 按 需 购买 ,无 颖 扩展 ,用 户 按照 自 
己 的 显示 需求 购买 证 书 ,根据 自己 需求 的 变 
化 ,可 随时 变化 购买 数量 ,不 用 考虑 证 书 数量 
增加 导致 系统 配置 的 改变 或 升级 


按 规划 建设 。 一 经 投资 ,无 法 收回 。 当 
证 书 需求 超过 建设 规划 时 ,企业 需要 自 
行 考虑 软 硬 件 、 人 员 、 设 施 、 数 据 库 的 
升级 


用 合同 的 方式 保证 PKI 后 台 的 安全 ,如 何 分 
担 责任 以 及 由 第 三 方 审计 


企业 自己 提供 安全 设施 ,必须 设计 自己 
的 操作 策略 并 付 诸 实施 ,承担 全 部 的 运 
营 风 险 


可 以 选择 自己 的 认证 体系 或 者 公用 的 认证 体 
系 。 在 公用 的 认证 体系 下 ,多 有 企业 可 以 相 
互 认证 ;在 加 入 国际 公共 认证 体系 下 ,可 以 容 
易 地 与 全 球 企业 相互 认证 ,实现 与 国际 接轨 


建立 自己 的 认证 体系 。 体 系 用 在 企业 内 
部 ,各 企业 拥有 各 自 的 体系 , 当 企业 间 需 
要 相互 认证 时 ,需要 解决 复杂 的 交叉 认 
证 问题 


如 图 4-8-1 所 示 ,CFCA 的 手机 证 书 就 可 以 支持 无 线 PKI, 提供 基 于 WAP 和 短信 息 
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两 种 方式 手机 证 书 , 实 现在 移动 商务 中 的 身份 验证 .信息 加 密 .数字 签名 ,确保 使 用 者 能 在 
任何 地 点 、 任 何 时 间 方便 .及 时、 交互 地 进行 安全 接 人 信息 与 服务 。 
人 移动 运营 商 
| 


证书 | - 国 - 装 f] | 
Db- 
| “gt 起 火 


CFCA 


移动 增值 平台 


图 4-8-1 CFCA 手机 证 书 工作 示意 图 


窗 角 证 书 一 >| 


上 


1 
| 
1 
1 


移动 用 户 以 短信 息 的 形式 将 请 求 及 指令 发 往 移动 运营 商 (电信 ) ,移动 运营 商 将 信息 
转换 ,使 用 TCP/IP 协议 发 往 移动 商务 平台 ,由 该 平台 转发 对 应 的 应 用 服务 提供 商 ,采用 
证 书 机 制 能 够 验证 移动 用 户 ,移动 设备 的 身份 .认证 经 加 密 发 往 各 服务 器 的 信息 。 

该 手机 证 书 的 应 用 特点 是 : 

(1) 基于 STK 和 短 消息 (SMS) ,移动 用 户 只 需 与 移动 商务 服务 商 单 点 接 入 , 即 可 方 
便 地 进行 注册 ,服务 查询 ,账户 查询 .转账 处 理 、 代 收 付 等 业务 。 

(2) 证 书 与 手机 使 用 者 身份 绑 定 在 一 起 ,有 效 地 规避 了 用 户 在 移动 商务 中 数据 传输 
信息 失真 ,非法 算 改 、 否 认 等 交易 风险 , 极 大 程度 地 提高 了 无 线 交易 的 安全 性 。 


4.9 ”基础 设施 安全 产品 一 一 可 信 计 算 平 台 


一 般 来 讲 , 可 信 计 算 的 目标 是 通过 某 些 专用 的 硬件 ,使 计算 设备 如 计算 机 更 加 安全 。 

从 用 户 的 角度 来 讲 , 可 信 计 算 指 通过 某 些 机 制 对 平台 及 其 状态 信息 进行 可 靠 的 度量 与 报 
告 , 使 得 使 用 者 确信 计算 平台 中 的 软 硬 件 环境 能 够 按 预 期 目标 运行 。 从 厂商 的 角度 来 讲 ， 
可 信 计 算是 一 种 理念 ,通过 硬件 化 的 平台 来 抵抗 某 些 基 于 软件 的 攻击 。 可 信 计 算 平台 
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(Trusted Computing Platforms,TCP) 所 代表 的 是 一 系列 的 安全 设备 ,如 安全 协 处 理 器 、 
密码 加 速 器 、 个 人 令 牌 、 可 信 平 台 模块 (TPM) ,增强 型 CPU 等 设备 。 

TCP 实际 上 是 一 个 拥有 各 种 保护 措施 的 盒子 ,具备 以 下 两 个 基本 属性 : 能 够 保护 数 
据 存 储 区 域 ,避免 敌手 直接 物理 上 访问 到 机 密 数据 存储 区 ;能够 保证 系统 的 运行 环境 是 安 
全 的 ,没有 被 自 改 ,所 有 的 代码 能 够 执行 于 一 个 未 被 自 改 的 运行 环境 。 总 而 言 之 ,TCP 保 
护 数 据 安全 和 代码 安全 。 

可 信 计 算 的 涉及 面 比较 广 , 人 们 的 认识 也 不 尽 相 同 , 当 前 在 信息 安全 领域 基本 认可 国 
际 TCG 联盟 关于 可 信 计 算 的 定义 ,其 基本 思想 是 在 硬件 平台 上 引入 安全 芯片 ( 称 作 可 信 
平台 模块 TPM) 架 构 ,来 提高 终端 系统 的 安全 性 ,从 而 将 部 分 或 整个 计算 平台 变 为 "可 信 ? 
的 计算 平台 。 
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TCP 的 发 展 轨迹 是 从 安全 启动 发 展 到 安全 协 处 理 器 ,再 发 展 到 TPM ,最 后 发 展 到 
TCP。TCP 技术 的 思想 源 于 早期 计算 机 的 可 信和 启动 研究 。 安 全 启动 的 基本 思想 是 将 系 
统 配置 分 解 为 一 系列 的 实体 ,逐一 0 : 体 的 完整 性 。 

早期 的 安全 启动 系统 主要 有 三 个 。1990 年 研制 的 Tripwire 系统 ,使 用 软件 手段 确保 
UNIX 系统 的 完整 性 。1994 和 和 机 BIT 系统 ,使 用 智能 卡 实现 安全 启动 ,用 口令 认证 
用 户 ,主机 和 智能 卡 之 间 通过 共享 秘密 认证 ,主机 计算 出 完整 性 度量 值 和 存储 在 智能 卡 的 
值 比较 后 实现 安全 启动 。1997 年 研制 的 AEGIS 系统 ,该 系统 基于 这 样 的 公理 : BIOS 的 
初始 化 是 可 信 的 ,一 个 组 件 被 另 一 个 可 信 组 件 检测 验证 后 也 是 可 信 的 。 

安全 协 处 理 器 的 早期 代表 性 工作 主要 有 五 项 。1973 年 美国 国防 部 的 LOCK (Logical 
Coprocessing Kernel) 项 目 试图 使 用 硬件 和 一 些 相 关 工 具 , 结 合 虚拟 机 监视 器 的 原理 建立 
一 个 高 可 信 的 通信 子 系统 。1980 年 MIT 的 Stephen Kent 探索 性 地 使 用 TRM (tamper- 
resistant modules) 保 护 外 部 软件 并 研制 了 Kent 系统 。1987 年 IBM Watson 研究 院 的 
Steve White 和 Liam Comerford 在 Kent 系统 的 基础 上 设计 了 ABYSS。1991 年 IBM 
Watson 研究 院 改 进 了 ABYSS 系统 ,形成 了 功能 更 为 全 面 的 Citadel 系统 。 该 系统 改变 
了 早期 的 TCP 只 是 作为 监视 器 或 防 自 改 部 件 进 行 被 动 监视 的 情况 ,开始 主动 为 系统 提供 
服务 。1993 年 CMU 开发 了 Dyad 系统 。Dyad 系统 是 Citadel 系统 的 扩展 ,特别 是 扩展 
了 Citadel 系统 的 软件 体系 结构 ,实现 了 一 系列 应 用 。 

关于 TPM 的 标准 和 产品 相对 来 说 都 比较 成 熟 ,TPM 标准 已 经 发 展 到 1. 2 版 本 并 正 
在 研究 制定 下 一 代 TPM 标准 。 当 前 满足 标准 的 TPM 产品 也 有 很 多 ,下 面 我 们 将 会 提 到 
一 些 TPM 产品 及 其 制造 商 。TPM 实际 上 是 一 个 含有 密码 运算 部 件 和 存储 部 件 的 小 型 
片上 系统 (SOC) ,是 构建 可 信 计 算 平台 TCP 的 基础 ,其 体系 结构 如 图 4-9-1 所 示 。 
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TCP 是 以 TPM 为 基础 构建 的 计算 平台 ,其 可 
信 机 制 主要 通过 三 个 方面 来 体现 : vo 
(1) 可 信 的 度量 : 任何 将 要 获得 控制 权 的 实 
体 ,都 需要 先 接受 对 该 实体 进行 的 度量 , 主要 是 指 
完整 性 的 计算 。 从 平台 加 电 开始 ,直到 运行 环境 的 “| HMAC 引 擎 随机 数 产生 器 
建立 ,这 个 过 程 就 一 直 在 进行 。 


密码 协 处 理 器 密 钥 产生 


(2) 度量 的 存储 :所 有 度量 值 将 形成 一 个 序 和 和 
列 , 并 保存 在 TPM 中 ,同时 还 包括 度量 过 程 日 志 的 Opt-Ln 执行 引 芍 
存储 。 

(3) 度量 的 报告 : 对 平台 是 否 可 信 的 询问 正 是 [得 易 关 存储 器 有情 
通过 “报告 "机 制 来 完成 的 ,任何 需要 知道 平台 状态 图 4-9-1 TPM 体系 结构 


的 实体 ,需要 让 TPM 报告 给 它 这 些 度量 值 和 相关 
日 志 信息 ,这 个 过 程 需 要 询问 实体 和 平台 之 间 进 行 双向 的 认证 。 如 果 平 台 的 可 信 环 境 被 
破坏 了 ,询问 者 有 权 拒 绝 与 该 平台 的 交互 或 向 该 平台 提供 服务 。 


492 发 展现 状 


自 1999 年 IEEE 太平 洋 沿岸 国家 容错 系统 会 议 改 名 为 “可 信 计 算 会 议 ”, 并 由 IBM、 
HP、Intel、Microsoft 等 著名 企业 于 2000 年 12 月 11 日 成 立 了 可 信 计 算 联 盟 TCPA(2003 
年 改组 为 可 信 计 算 组 织 TCG) 以 来 ,可 信 计 算 已 经 逐步 从 学 术 界 走向 产业 界 ,全 球 信息 技 
术 行 业 几 乎 所 有 的 著名 公司 都 加 入 了 TCG 这 一 联盟 组 织 。TCG 的 宗旨 是 加 强 在 相 异 计 
算 机 平台 上 的 计算 环境 的 安全 性 。TCG 的 主要 任务 是 通过 平台 、 软 件 和 技术 的 协作 , 定 
义 、 开 发 .推广 一 套 开放 的 、 系 统 的 可 信 计 算 规范 ,提供 一 整套 可 信 计 算 安全 技术 ,规范 硬 
件 构建 模块 和 通用 的 软件 接口 ,设计 多 平台 多 外 设 的 可 信 计 算 环境 。TCG 规范 包括 
TPM 规范 ,TCG 体系 结构 规范 ,可 信和 软件 堆栈 规范 ,可 信和 网 络 连 接 规范 ,可 信 客 户 端 规 
范 , 可 信服 务 器 规范 等 。TCG 定义 了 具有 安全 存储 和 加 密 功能 的 TPM, 并 于 2001 年 1 
上 30 日 发 布 了 基于 硬件 系统 的 “可 信 计 算 平 台 规范 ”1. 0 版 标准 。 该 标准 通过 在 计算 机 
系统 中 能 入 一 个 可 抵制 代 改 的 独立 计算 引擎 ,使 非法 用 户 无 法 对 其 内 部 的 数据 进行 更 改 ， 
从 而 确保 了 身份 认证 和 数据 加 密 的 安全 性 ,2003 年 10 月 发 布 了 1. 2 版 标准 。 

在 科研 方面 ,当前 的 主要 研究 方向 集中 在 系统 安全 体系 结构 (包括 安全 启动 .虚拟 技 
术 、 仅 执行 内 存 (XOM) .AEGIS、Cerium) .远程 证 明 .访问 控制 .数字 版 权 管理 CDRM) . 生 
物 认 证 .网 格 安 全 安全 增强 (包括 操作 系统 安全 增强 、Web 服务 器 安全 增强 .PKI 增强 ) 
等 方面 。 

安全 启动 方面 的 研究 成 果 有 三 项 。Microsoft 公司 的 NGSCB 技术 下 的 安全 启动 功 
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能 应 用 。IBM 的 完整 性 检测 系统 ,在 Red Hat Linux 下 实现 系统 完整 性 度量 ,完整 性 度 
量 的 内 容 包括 核心 模块 ,可 执行 的 共享 库 , 配 置 文件 等 。Dartmouth 大 学 的 Enforcer 系 
统 , 实 现 了 对 Linux 下 的 文件 系统 进行 完整 性 度量 。 

虚拟 技术 方面 的 研究 成 果 有 Stanford 大 学 的 Terra 体系 结构 和 Cambridge 大 学 的 Xen 
系统 。 他 们 在 技术 上 都 采用 了 粒度 为 操作 系统 级 的 多 路 技术 , 即 TVMM 之 上 是 多 个 Guest 
OS, 他 们 同时 并 行 不 悖 的 运行 。 虚 拟 技术 的 优势 在 于 实现 硬件 层 TPM 的 虚拟 化 ,多 个 
Guest OS 同时 操作 TPM, 就 像 拥 有 多 个 TPM 一 样 , 并 且 不 同 的 Guest OS 之 间 实 现 了 域 隔 
离 ,即使 一 个 Guest OS 被 黑客 成 功 入 侵 ,丝毫 也 不 会 影响 其 他 Guest OS 的 工作 。 

仅 执 行内 存 (XOMD) 方 面 的 研究 成 果 有 Stanford 大 学 的 David Lie 和 他 的 同事 提出 的 
基于 XOM(execute-only memory) 内 存 的 CPU 架构 。XOM 的 提出 是 为 了 防止 盗版 以 及 
对 应 用 软件 的 恶意 操作 。 在 最 后 的 模型 中 ,应 用 程序 信任 CPU 而 不 必 信 任 OS。 在 
XOM 结构 中 对 程序 进行 加 密 。 只 有 受信 任 的 处 理 器 拥有 解密 密 钥 。 在 XOM 结构 中 ,只 
有 敏感 的 应 用 程序 能 得 到 这 种 保护 。 这 相当 于 在 新 的 特权 模型 中 的 “安全 "模式 。XOM 
在 设计 时 对 CPU 的 结构 做 了 适当 的 修改 。Lie 和 他 的 同事 在 Sim OS 上 开发 了 模拟 的 
XOM CPU, 并 且 通 过 修改 IRIX6. 5 构建 了 XOMOS, 在 该 平台 上 运行 MP3 播放 器 和 
Open SSL 做 测试 。 

MIT 的 Srini Devadas”s 组 在 增强 CPU 的 可 信 度 方面 做 了 很 多 工作 ,产生 了 新 的 计 
算 机 结构 AEGIS, 同时 在 相关 的 支持 技术 方面 也 产生 了 很 多 成 果 。 和 XOM 一 样 ， 
AEGIS 增加 了 “安全 ”模式 ,增加 了 新 的 指令 进入 和 退出 安全 模式 ,并 且 可 以 使 用 被 保护 
的 密 钥 。AEGIS 也 提供 了 all-or-nothing 的 共享 方式 ,内 存 或 者 受到 保护 环境 的 保护 或 
者 不 被 保护 。 与 XOM 不 同 的 是 ,AEGIS 通过 划分 地 址 空间 来 实现 这 种 机 制 ,而 XOM 是 
通过 加 入 数据 移动 的 新 指令 来 达到 目的 的 。AEGIS 的 主要 应 用 是 在 DRM 和 认证 执行 
(certified execution) 上 ,在 认证 执行 中 ,产生 一 个 证 书 , 证 明 特定 的 计算 是 在 特定 的 处 理 
器 芯片 中 执行 的 。 

Cerium 是 MIT 提出 的 可 信 处 理 器 。Cerium 借鉴 了 IBM4758 和 Dyad 的 结构 思想 ， 
在 强化 CPU 中 支持 认证 执行 。 同 XOM 和 AEGIS 一 样 ,Cerium 利用 了 保护 进程 地 址 空 
间 的 方式 。Cerium 借鉴 了 AEGIS 组 的 Merkle 树 的 方法 。 与 XOM 和 AEGIS 不 同 的 
是 ,Cerium 利用 的 是 软件 , 它 在 CPU 内 部 加 入 了 可 信 微 核 。 需 要 操作 地 址 空间 的 事件 引 
发 自 陷 , 进 入 微 核 , 微 核 会 做 合适 的 操作 。 但 Cerium 目前 还 只 停留 在 学 术 交 流 阶段 。 

远程 证 明 是 可 信 计 算 平台 提供 的 一 个 核心 功能 。 但 是 ,现在 的 远程 证 明 技术 是 静态 
的 ,表达 能 力 不 强 ,与 现存 的 各 种 分 布 式 计算 环境 和 商业 开放 式 系统 是 不 相 适 应 的 。 目 前 
主要 有 语义 、 属 性 和 软件 三 种 远程 证 明 技术 。 语 义 远程 证 明 使 用 基于 语言 的 虚拟 机 ,使 得 
远程 证 明 具 有 复杂 、 动 态 和 高 级 别 程序 的 特点 ,这 种 特点 与 平台 无 关 。California 大 学 实 
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现 了 语义 远程 证 明 的 原型 框架 ,提供 了 两 个 例子 程序 一 一 点 对 点 网 络 协 议和 一 个 分 布 式 

应 用 程序 。 属 性 证 明 不 依赖 于 特定 的 软件 和 硬件 (配置 ), 只 依赖 于 平台 提供 的 “属性 ”。 
基于 属性 的 证 明 应 该 只 验证 这 些 属 性 是 否 足 够 满足 依赖 方 提出 的 安全 需求 。 目 前 已 经 提 

出 了 基于 属性 的 证 明 协 议 如 何在 基于 TPM 的 TC 硬件 下 的 实现 方案 。 软 件 证 明 是 
CMU 提出 的 一 个 基于 软件 的 证 明 技术 (简称 SWATT) 来 验证 嵌入 式 设备 的 内 存 , 并 且 

能 检测 到 对 内 存 内 容 的 修改 。SWATT 不 需要 对 设备 内 存 进 行 物理 访问 ,但 是 仍然 能 提 

供 类 似 于 TCG 或 NGSCB 的 内 存 内 容 证 明 。SWATT 以 很 高 的 概率 可 以 检测 到 内 存 内 

容 的 改变 ,从 而 检测 到 病毒 ,未 预见 到 的 配置 环境 和 木马 。 

MIT 提出 了 基于 AEGIS 的 DRM ,给 出 了 AEGIS 系统 中 的 DRM 模型 。HP 实验 室 
在 网 格 系统 中 引入 可 信 计 算 ,增强 网 格 结 点 的 可 信和 度 。Dartmouth 研制 了 增强 型 安全 操 
作 系 统 Enforcer, 以 及 基于 Enforcer 的 Web Server 和 Open CA。 

目前 ,主要 的 可 信 计 算 平 台 开 源 资源 有 Xen 虚拟 监控 器 , Enforcer, TrustedGrub， 
TPM 仿真 软件 ,IBM 的 TPM 驱动 和 软件 栈 (TSS) ,IBM 可 信 Linux 客户 端 。 

在 产业 方面 ,当前 的 主要 工作 与 TCG(Trusted Computing Group) 相 关 。 

TCP 的 代表 技术 是 Microsoft 公司 的 NGSCB(Next Generation Secure Computing 
Base, 下 一 代 安 全 计算 基础 ) ,Intel 的 LaGrande(Intel 在 1/0O 设备 方面 对 TC 的 支撑 技 
术 ) 和 ARM 的 TrustZone 技术 。 

可 信 计 算 平台 的 应 用 领域 包括 安全 登录 .安全 E-mail 安全 VPN 和 Web 服务、 数据 
保护 .数字 签名 企业 IT 管理 .安全 自动 升级 .TPM 密 钥 的 备份 .恢复 和 迁移 等 。 

国外 的 TPM 制造 商 有 Atmel、Broadcom ,Infineon National Semiconductor 等 。 基 
于 TPM 台式 机 产品 有 HP/Compaq 的 dc7100, IBM 的 NetVista desktops, Dell 的 
OptiPlex GX520 等 。 基 于 TPM 笔记 本 计算 机 产品 有 HP/Compaq 的 nw8000,IBM 的 
T43, Sony 的 VAIO BX Series 等 。 基 于 TPM 的 应 用 软件 有 NTRU 的 Core TCG 
Software Stack (CTSS) ,IBM 的 TrouSerS 等 。 国 内 的 TPM 芯片 有 : 联想 * 恒 智 ” 安 全 芯 
片 ,北京 兆 日 的 SSX35 安全 芯片 ,武汉 瑞 达 的 SSP02 芯片 。 联 想 、 瑞 达 等 已 推出 基于 
TPM 的 安全 主机 产品 。 基 于 TPM 的 应 用 软件 有 信息 安全 国家 重点 实验 室 的 LOIS 
TNC 等 。 中 国政 府 最 近 公 布 了 《可 信 计 算 密码 支撑 平台 功能 与 接口 规范 》, 相 应 的 技术 产 
品 也 已 相继 问世 。 


493 发 展 方向 


当前 TCP 的 讨论 热点 主要 集中 在 TCG 规范 ,TCP 的 未 来 设计 ,方法 论 以 及 TCP 对 
社会 的 影响 等 方面 。 未 来 TCP 的 工作 仍 将 沿 着 科研 和 产业 两 个 方向 展开 。 在 科研 领域 ， 
从 理论 上 论证 要 达到 系统 可 信 , 自 芯片 而 上 的 硬件 平台 、 系 统 软件 、 应 用 软件 ,软件 开发 环 
境 、 网 络 系统 及 拓扑 结构 所 应 遵循 的 设计 策略 。 这 一 方面 的 研究 内 容 仍 将 围绕 现 阶段 的 
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主要 研究 课题 展开 。 在 产业 界 ,致力 于 为 可 信 计 算 平台 构建 制定 工业 标准 ,以 使 不 同 厂 商 
的 软 硬 件 产品 彼此 兼容 ,共同 营造 安全 可 信 计 算 环境 ,同时 也 将 营造 可 信 计 算 环 境 的 思路 
纳入 他 们 各 自 产品 的 设计 过 程 之 中 。 据 IDC 预测 ,2010 年 几乎 所 有 的 笔记 本 计算 机 和 大 
多 数 台 式 机 都 将 配 有 TPM 芯片 。 可 见 ,TCP 有 很 好 的 发 展 前 景 。 

虽然 在 TCP 方面 已 经 有 很 多 的 研究 工作 和 可 应 用 的 产品 ,但 仍 有 很 多 问题 需要 持续 
和 创新 研究 ,例如 : 

(1) 新 一 代 可 信 计 算 平 台 整 体 架构 。 

(2) 高 效 的 可 信 计 算 硬件 平台 。 

(3) 基于 可 信 计 算 硬件 平台 的 高 等 级 安全 系统 软件 。 

(4) 研究 如 何 从 硬件 、 系 统 及 应 用 三 个 层面 上 实现 可 信和 存储 、 可 信和 度量 和 可 信和 报告 。 

(5) 可 信 计 算 测评 技术 与 系统 。 

(6) 可 信 计 算 技术 标准 和 规范 。 


410 ”安全 服务 产品 


= 


“x 


安全 运营 管理 


4101 安全 服务 产品 综述 


信息 安全 风险 是 整体 安全 风险 管理 战略 中 的 重要 组 成 部 分 。 信 息 安全 的 发 展 趋势 已 
经 不 仅仅 是 升级 传统 的 安全 产品 ,而 是 从 业务 策略 ,整体 架构 和 完整 流程 方面 来 考虑 安全 
问题 。 安 全 服务 囊括 了 技术 ,产品 ,人员 过程, 管理 在 内 的 各 方面 因素 ,已 逐步 脱离 了 原 
先 依托 于 安全 技术 而 生存 的 境地 ,逐渐 在 信息 安全 产业 中 占据 主导 地 位 ,并 发 展 成 为 一 种 
全 新 的 “产品 ”模式 。 

安全 服务 是 引导 建立 信息 安全 整体 架构 和 解决 方案 的 核心 内 容 。 网 络 与 信息 系统 生 
命 周期 的 各 个 阶段 都 为 安全 服务 提供 了 广阔 的 发 展 空间 。 安 全 咨询 风险 评估 、 体 系 规 
划 、\ 项 目 实施 .系统 运 维 、 安 全 培训 、 技 术 支 持 等 ,构成 了 完整 的 安全 服务 业务 链 。 国 内 的 
金融 ,电信 、 电 力 等 产业 以 及 政府 部 门 已 开始 成 为 信息 安全 服务 的 主要 对 象 ,为 企 事业 单 
位 的 网 络 与 信息 系统 提供 持续 、. 可 靠 、 完 善 的 安全 保障 。 

典型 的 安全 服务 产品 主要 有 : 信息 安全 咨询 ,安全 运营 管理 ,安全 体系 架构 规划 , 信 
息 安全 风险 评估 ,应 用 安全 评估 ,安全 系统 集成 ,信息 安全 培训 等 。 


4102 典型 安全 服务 产品 安全 运营 管理 


安全 服务 的 核心 是 提供 针对 客户 信息 安全 管理 需求 的 完善 解决 方案 ,帮助 客户 更 加 
全 面 地 认识 信息 技术 .评估 信息 安全 隐患 及 薄弱 环节 ,完善 信息 安全 架构 ,构建 安全 的 运 
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行 环境 ,共同 规划 ,设计 实施、 运营 ,保护 客户 系统 的 安全 。 

安全 运营 管理 是 面向 信息 系统 运行 阶段 的 安全 服务 产品 。 由 于 在 信息 系统 运行 过 程 
中 ,安全 事件 随时 都 可 能 发 生 ,及 时 掌握 出 现 的 故障 和 存在 的 隐患 等 问题 ,并 采取 必要 的 
应 对 措施 ,已 成 为 保障 业务 系统 正常 运行 的 必要 工作 。 针 对 众多 企业 客户 面临 的 网 络 规 
模 庞大 ,应 用 复杂 ,设备 分 散 和 专业 技能 缺乏 等 问题 ,安全 运营 管理 服务 通过 统一 的 运营 
管理 体系 和 风险 管理 平台 ,提供 有 效 地 技术 .人 员 及 流程 支持 ,帮助 客户 及 时 地 检测 .响应 
安全 事件 ,针对 信息 安全 状况 实施 动态 监控 \ 信 息 整合 ,全 局 分 析 和 决策 支持 。 

安全 运营 中 心 (SOC) 是 安全 运营 管理 服务 产品 的 典型 解决 方案 。 通 过 本 项 服务 的 实 
施 ,可 以 协助 客户 构建 统一 、 集 中 、 高 效 的 信息 安全 运营 中 心 , 调 整 信息 安全 人 员 组 织 结 
构 , 整 合 防火 墙 防 病毒 、 信 侵 检 测 、 网 络 监控 、 主 机 监控 ,漏洞 扫描 等 产品 ,整合 覆盖 企业 
全 范围 的 信息 安全 监控 技术 架构 ,形成 支持 安全 事件 综合 分 析 处 理 及 统一 管理 的 信息 安 
全 运营 管理 系统 ,建立 企业 安全 管理 体系 和 信息 安全 管理 制度 ,实现 企业 信息 安全 的 评 
估 、 支 持 、 响 应 处 理 ,监督 .管理 等 功能 。 


4103 安全 服务 产品 发 展 趋势 


安全 服务 的 目标 是 保障 客户 网 络 及 信息 系统 的 安全 , 尽 可 能 地 防止 .消除 或 降低 由 于 
信息 安全 事件 而 导致 的 业务 损失 。 安 全 服务 产品 应 符合 最 大 限度 提高 投资 回报 (ROD 的 
基本 原则 ,为 客户 提供 满意 的 服务 质量 。 

实践 表明 ,成 功 的 服务 项 目 必须 同时 考虑 和 协调 三 个 层面 的 问题 组 织 机 构 
(organization) ,技术 (technology) ,流程 (process)。 安 全 服务 产品 作为 与 IT 技术 紧密 相 
关 的 一 项 服务 产品 ,目前 的 一 个 主要 发 展 趋势 是 与 IT 服务 管理 的 理念 相 结 合 ,把 客户 需 
求 量化 为 安全 服务 所 遵从 的 质量 标准 体系 。 

安全 服务 管理 是 基于 流程 和 面向 服务 的 管理 过 程 ,其 目标 是 提高 和 保证 安全 服务 质 
量 , 质 量 管理 和 流程 控制 形成 了 组 织 安全 策略 的 一 部 分 。 采 用 IT 服务 管理 方面 的 最 佳 
实践 一 一 ITIL(IT 基础 设施 库 ) 来 规划 和 实施 安全 服务 项 目 ,可 以 帮助 企业 管理 层 建立 以 
组 织 战略 为 导向 ,以 外 界 环 境 为 依据 ,以 业务 与 安全 整合 为 中 心 的 观念 ,正确 定位 安全 部 
门 在 整个 组 织 中 的 作用 。 运 用 IT 服务 的 管理 方法 能 够 达到 既定 的 安全 服务 质量 目标 ， 
履行 安全 服务 组 织 和 客户 之 间 达 成 的 服务 协议 。 

安全 服务 作为 一 种 特殊 的 信息 技术 产品 ,其 核心 是 保持 信息 安全 与 企业 的 业务 目标 
相 一 致 ,合理 利用 信息 安全 资源 ,管理 信息 安全 风险 ,为 推动 企业 的 业务 发 展 提供 可 靠 的 

台 , 促 使 企业 收益 最 大 化 。 通 过 安全 服务 与 ITIL 的 结合 ,指导 用 户 更 有 效 地 使 用 信息 
安全 资源 ,将 最 佳 实践 与 技术 、 产 品 、 流 程 相 结 合 , 进 一 步 体现 信息 安全 系统 对 企业 业务 的 
价值 ,提高 信息 安全 的 投资 回报 率 。 
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411 小 结 


目前 市 场 上 的 信息 安全 产品 五 花 八 门 应 有 尽 有 。 但 是 ,在 真正 考虑 选用 某 种 产品 来 
满足 用 户 的 信息 安全 需求 时 ,往往 又 会 因为 多 种 原因 而 不 能 尽快 做 出 决定 。 抛 开 产 品 提 
供 商 形形色色 的 宣传 ,需要 了 解 这 些 产品 的 真正 特点 、 功 能 以 及 必要 的 性 能 指标 。 为 此 ， 
本 章 主 要 以 点 带 面 地 介绍 了 目前 常见 的 10 类 信息 安全 产品 ,描述 了 他 们 的 主要 功能 、 特 
点 ,局限 性 和 发 展 趋势 ,并 举例 说 明了 一 些 代 表 性 产品 的 应 用 情况 。 

从 这 些 产 品 所 起 的 作用 来 看 ,他 们 主要 是 提供 了 网 络 边 界 防护 、 网 络 连接 安全 、 本 地 
环境 安全 基础 设施 安全 和 安全 服务 。 因 此 ,我 们 把 依据 这 些 产 品 的 主要 应 用 环境 和 主要 
功能 进行 了 简单 归 类 。 需 要 说 明 的 是 , 随 着 产品 功能 的 逐渐 丰富 ,这 种 归 类 方法 可 能 会 面 
临 一 定 的 争议 。 这 里 的 主要 目的 是 希望 这 种 分 类 能 够 帮助 读者 系统 地 了 解 信息 安全 产 
品 ,从 而 在 面 对 真实 需求 的 时 候 不 忙乱 、 更 理智 。 


习题 


. 请 简要 说 明 恶 意 代 码 防 范 产 品 的 发 展 趋势 。 

. 依据 防火 墙 的 实现 形式 , 它 可 以 分 为 哪 几 类 ? 

. 防火 墙 采用 了 哪 几 类 技术 ? 

. 在 网 络 边界 上 和 网 络 内 部 部 署 防火 墙 , 需 要 考虑 的 问题 有 什么 不 同 ? 
. 防火墙 产品 的 发 展 趋势 如 何 ? 

. 目前 的 入 侵 检测 产品 具有 哪些 局 限 性 ? 

. 下 一 代入 侵 检 测 产 品 可 能 涉及 哪些 关键 技术 ? 

. 什么 是 安全 网 关 ? 它 的 主要 作用 是 什么 ? 技术 发 展 趋势 如 何 ? 
. 企业 内 部 自 建 VPN 采用 的 两 种 主要 技术 各 自 有 什么 特点 ? 
.VPN 产品 的 发 展 趋势 体现 在 哪些 方面 ? 

. 什么 是 密码 机 ? 它 有 哪儿 个 主要 功能 模块 ? 

. 目前 主要 有 哪 几 种 不 同 的 PKI/CA 开发 模式 ? 

. 请 描述 你 所 用 的 恶意 代码 防范 产品 的 主要 功能 。 

. 请 说 明 一 个 密码 机 应 用 实例 。 

. 谈 谈 你 对 安全 服务 产品 的 认识 。 
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5S 但 
页。 信 息 安全 标准 


信息 安全 标准 主要 来 自 以 下 四 个 方面 。 

(1) 有 关 信 息 技术 的 国际 标准 。 这 些 标准 是 由 以 下 组 织 建立 的 : 国际 标准 化 组 织 
(International Organization for Standardization ,ISO) ,国际 电子 技术 协会 (International 
Electrotechnical Commission ,IEC) ,国际 电信 联合 会 (International Telecommunication 
Union,ITU, 原 为 CCITT) 和 电气 与 电子 工程 师 协 会 (Institute of Electrical and 
Electronics Engineers,IEEE ) 。 

(2) 银行 工业 标准 。 这 些 标准 或 者 是 由 ISO 面向 国际 社会 应 用 开发 的 ,或 者 主要 是 
由 美国 国家 标准 协会 (American National Standards Institute,ANSI) 面 向 美国 国内 的 应 
用 而 开发 的 。 

(3) 国家 政府 标准 。 这 些 标 准 是 由 各 国政 府 制定 的 。 

(4) Internet 标准 。 这 些 标准 是 由 Internet 协会 开发 的 。 


511 国际 信息 技术 标准 化 组 织 


目前 ,国际 上 有 很 多 标准 化 组 织 , 其 中 最 重要 的 是 ISO 和 IEC, 此 外 还 包括 ITU、 
IETF、ECMA\IEEE .EDTI 和 OMG 等 。 

ISO 和 IEC 下 设 机 构 中 与 信息 安全 标准 有 关 的 机 构 有 : 

(1) ISO/IEC JTC1 负责 制定 信息 技术 领域 的 国际 标准 ,下 设 19 个 分 技术 委员 会 
(SC) 和 SGFS( 功 能 标准 化 专门 组 ) 等 特别 工作 小 组 ,以 及 4 个 管理 机 构 ( 分 别 是 : 一 致 性 
评定 特别 工作 小 组 ,信息 技术 任务 组 ,注册 机 构 特 别 工 作 组 ,业务 分 析 与 计划 特别 小 组 )。 
ISO/IEC SC27 设立 于 1990 年 4 月 ,负责 制定 通用 信息 技术 和 安全 技术 标准 。 

(2) ISO/TC176 技术 委员 会 (质量 管理 和 质量 保证 技术 委员 会 ) 专 门 研究 国家 质量 
保证 领域 内 的 标准 化 问题 。 

(3) ISO/TC97 与 SC20 分 别 负责 数据 加 密 技术 标准 化 工作 和 密码 算法 国际 标准 化 


工作 。 但 是 ,由 于 SC20 与 SC6 和 SC21 的 工作 范围 有 重复 ,SC20 于 1989 年 6 月 被 撤销 。 

(4) ISO/TC68( 银 行 和 有 关 的 金融 服务 ) 负 责 制定 行业 应 用 信息 安全 标准 。 

(5) SC6( 系 统 间 通 信和 与 信息 交换 ) 主 要 开发 系统 互 连 下 4 层 安全 模型 和 安全 协议 。 

(6) SC17( 识 别 卡 和 有 关 设备 ) 主 要 开发 与 识别 卡 等 有 关 的 安全 标准 。 

(7) SC18( 文 件 处 理 及 有 关 通 信 ) 主 要 开发 电子 邮件 、 消 息 处 理 系 统 等 安全 标准 。 

(8) SC21( 开 放 系统 互 连 .数据 管理 和 开放 式 分 布 处 理 ) 主要 开发 开放 系统 互 连 安全 
体系 结构 ,各 种 安全 框架 和 高 层 安 全 模型 等 标准 。 

(9) SC22( 程 序 语言 ) 主 要 开发 程序 语言 与 环境 及 系统 软件 接口 的 标准 ,同时 也 开发 
相应 的 安全 标准 。 

(10) SC30( 开 放 式 电子 数据 交换 ) 主 要 开发 电子 数据 交换 的 有 关 安 全 标准 。 

(11) TC56( 可 靠 性 )。 

(12) TC74IT( 设 备 安 全 和 功效 ) 。 

(13) TC77( 电 磁 兼 容 ) 。 

(14) CISPR( 无 线 电 干扰 特别 委员 会 ) 。 

国际 电信 联盟 (ITU) 是 各 国电 信和 主管 部 门 之 间 协 调 电信 事 务 的 一 个 国际 组 织 。 在 该 
组 织 下 设 的 研究 组 中 ,工作 内 容 与 信息 安全 相关 的 有 : 

(1) SG2: 负责 网 络 与 业务 经 营 。 

(2) SG4: 负责 电信 管理 网 和 网 络 维护 。 

(3) SG13: 负责 网 络 总 体 。 

(4) SG16: 负责 多 媒体 业务 和 系统 。 

IETF 主要 负责 提出 Internet 标准 草案 及 其 意见 征求 稿 ( 即 RFC)。 目 前 有 关 信 息 安 
全 的 RFC 已 经 有 170 多 个 。 

欧洲 计算 机 厂商 协会 (ECMA) 主 要 制定 计算 机 及 其 相关 应 用 的 标准 和 技术 报告 ,并 
经 常 向 ISO 提交 标准 草案 。 在 ECMA 下 设 的 11 个 技术 委员 会 中 ,TC32 和 TC36 都 与 信 
息 安 全 相关 。 

(1) TC32: 曾经 定义 了 开放 系统 应 用 安全 结构 。 

(2) TC36: 负责 信息 技术 设备 的 安全 标准 ,制定 了 商用 和 政府 用 信息 技术 产品 和 系 
统 安全 评估 标准 化 框架 ,制定 了 开放 系统 环境 下 逻辑 安全 设备 的 框架 。 


512 美国 信息 安全 标准 
美国 的 信息 技术 标准 主要 由 美国 国家 标准 化 协会 (ANSI) .美国 国家 技术 标准 局 
(NIST) 制 定 。 此 外 ,电子 工业 协会 (EIA) 和 通信 工业 协会 (TIA) 也 制定 了 部 分 信息 技术 
标准 。 这 些 标准 分 为 : 美国 国家 标准 、 美 国联 邦 信息 处 理 标 准 (FIPS) 、DoD 信息 安全 指 
令 和 标准 (DoDDI) 和 IEEE 标准 。 
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Eee 5.2 中国 信息 安全 标准 现状 mm 


1 美国 国家 标准 

ANSI 中 的 NCITS 技术 委员 会 ( 即 X3) 负 责 信息 技术 标准 , 它 同时 也 是 JTCI 的 秘书 处 。 
NCITS 下 设 的 分 技术 委员 会 T4 负责 IT 安全 技术 ,对 应 JTC1 的 SC27。ANSI 中 的 ASC X9 
和 X12 负责 金融 安全 ,ASC X9 制定 金融 业务 标准 ,ASC X12 制定 商业 交易 标准 。 


2 美国 联邦 信息 处 理 标准 (FIPS) 

FIPS 在 NIST 广泛 搜集 政府 和 私人 部 门 的 意见 的 基础 上 完成 ,在 正式 发 布 之 前 ， 
FIPS 分 送 给 每 个 政府 机 构 , 经 再 次 征求 意见 后 , NIST 把 FIPS 标准 连同 NIST 的 建议 一 
同 呈 送 美国 商务 部 ,由 部 长 决定 同意 或 反对 该 标准 。 目 前 ,已 经 有 一 系列 的 FIPS 标准 ， 
而 DES 是 FIPS 安全 标准 中 一 个 最 著名 的 例子 。 


3 DoD 信 息 安 全 指令 和 标准 (DoDD)) 

DoD 一 直 非 常 重视 信息 安全 ,并 发 布 了 一 系列 有 关 信息 安全 和 自动 信息 系统 安全 的 
指令 ,指示 和 标准 。 其 中 ,DoD 5200. 28-STD《 国 防 可 信和 计算 机 系统 评估 准则 》 受 到 了 广 
泛 关 注 。 

41IEEE 标准 

IEEE 在 信息 安全 标准 方面 的 主要 贡献 是 提出 了 LAN/WAN 安全 标准 SILS 和 公 
密码 标准 P1363。 

513 其 他 发 达 国 家 的 信息 安全 标准 

欧洲 一 些 国家 的 信息 安全 标准 化 工作 也 已 经 开展 了 多 年 。1989 年 ,英国 和 前 西 德 都 
针对 安全 控制 可 实施 和 安全 目标 不 可 实施 进行 了 分 类 评价 ,后 者 还 公布 了 《信息 技术 系统 
可 信 性 评价 准则 》; 加 拿 大 、 新 西 兰 等 国 也 公布 了 类 似 准则 ;法 国 、 德 国 .荷兰 与 美国 联合 开 
发 了 《网 络 技 术 安 全 评价 标准 ) 的 试用 草案 ;澳大利亚 、 瑞 士 等 国 也 在 研究 、 制 定 和 实施 各 
自 的 信息 安全 标准 ;日 本 防卫 厅 则 早 在 20 世纪 80 年 代 就 发 布 了 《计算 机 安全 规范 》。 


5.2 ”中 国信 息 安全 标准 现状 


521 工作 原则 与 组 织 机 构 


在 我 国 ,采用 国际 相关 标准 的 原则 与 规定 如 下 : 
(1) 采用 国际 标准 或 国外 先进 标准 ,应 当 符合 我 国有 关 法 律 和 法 规 ,保障 国家 安全 ， 
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防止 欺骗 ,保护 人 体 健 康 和 人 身 .财产 安全 ,保护 动 植物 的 生命 和 健康 ,保护 环境 ,适合 我 
国 气 候 、 地 理 条 件 和 资源 合理 利用 ,做 到 技术 先进 ,经 济 合理 ,安全 可 靠 。 

(2) 凡 已 有 国际 标准 (包括 即将 指定 完成 的 国际 标准 ) 的 ,应 当 以 其 为 基础 制定 我 国 
的 标准 , 凡 尚 无 国际 标准 或 国际 标准 不 能 适应 需要 的 ,应 当 积极 采用 国外 先进 标准 。 

(3) 对 国际 标准 中 的 安全 标准 卫生 标准 、 环 境 保护 标准 和 贸易 需要 的 标准 应 当先 行 
采用 ,并 与 相关 标准 相 协 调 。 

(4) 我 国标 准 采 用 国际 标准 或 国外 先进 标准 的 程度 分 为 等 同 采 用 、 等 效 采 用 和 非 等 
效 采用 。 

在 我 国 ,1984 年 成 立 了 数据 加 密 技 术 分 委 会 (后 改 为 信息 技术 安全 分 技术 委员 会 )， 
2001 年 成 立 了 全 国信 息 安 全 标准 化 技术 委员 会 (简称 信息 安全 标 委 会 ,TC260) 。 

目前 ,信息 安全 标 委 会 下 设 如 下 工作 组 : 

(1) 信息 安全 标准 体系 与 协调 工作 组 (WG1)。 

(2) 内 容 安全 分 级 及 标识 工作 组 (WG2)。 

(3) 密码 工作 组 (WG3)。 

(4) 鉴别 与 授权 工作 组 (WG4)。 

(5) 信息 安全 评估 工作 组 (WG5)。 

(6) 信息 安全 管理 工作 组 (WG7)。 

表 5-2-1 是 我 国 现 有 的 一 些 信息 安全 国家 标准 。 

表 5-2-1 2002 年 前 制定 的 信息 安全 国家 标准 (21 项 ) 
标 准 号 标准 名 称 


GB/T 15843.1 一 1999 | 信息 技术 安全 技术 实体 鉴别 第 1 部 分 : 概述 
3B 15843. 2 一 1997 信息 技术 安全 技术 实体 鉴别 第 2 部 分 : 采用 对 称 加 密 算法 的 机 制 


co 


B/T 15843. 3 一 1998 ”| 信息 技术 安全 技术 实体 鉴别 第 3 部 分 : 用 非 对 称 签名 技术 的 机 制 
B/T 15843. 4 一 1999 | 信息 技术 安全 技术 实体 鉴别 第 4 部 分 : 采用 密码 校 验 函数 的 机 制 
B 15851—1995 信息 技术 安全 技术 带 消息 恢复 的 数字 签名 方案 

B 15852—1995 信息 技术 安全 技术 用 块 密码 算法 作 密 码 校 验 函数 的 数据 完整 性 机 制 
B 17859—1999 计算 机 信息 系统 安全 保护 等 级 划分 准则 


B/T 17901.1 一 1999 | 信息 技术 安全 技术 密 钥 管理 第 1 部 分 : 框架 

B/T 17902. 1 一 1999 | 信息 技术 安全 技术 带 附 录 的 数字 签名 第 1 部 分 : 概述 

B/T 17903. 1 一 1999 | 信息 技术 安全 技术 抗 否认 第 1 部 分 : 概述 

B/T 17903. 2 一 1999 | 信息 技术 安全 技术 抗 否认 第 2 部 分 : 使 用 对 称 技术 的 机 制 
B/T 17903. 3 一 1999 | 信息 技术 安全 技术 抗 否 认 第 3 部 分 : 使 用 非 对 称 技术 的 机 制 
B/T 17964 一 2000 信息 技术 安全 技术 n 位 块 密码 算法 的 操作 方式 

B/T 18019 一 1999 信息 技术 包 过 滤 防 火 墙 安 全 技术 要 求 


中 中 
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标 准 号 


man 5.2 中 国信 息 安全 标准 现状 mm 


续 表 
标准 名 称 


GB/T 18020 一 1999 


GB/T 18238. 
GB/T 18238. 
GB/T 18238. 
GB/T 18336. 
GB/T 18336. 
GB/T 18336. 


1 一 2000 
2 一 2002 
3 一 2002 
1 一 2001 
2 一 2001 
3 一 2001 


信息 技术 应 用 级 防火 墙 安全 技术 要 求 

信息 技术 安全 技术 散 列 函数 第 1 部 分 : 概述 

信息 技术 安全 技术 散 列 函数 第 2 部 分 : 采用 n 位 块 密码 的 散 列 函数 
信息 技术 安全 技术 散 列 函数 第 3 部 分 : 专用 散 列 函 数 

信息 技术 安全 技术 信息 技术 安全 性 评估 准则 第 1 部 分 : 简介 和 一 般 模 型 
信息 技术 安全 技术 信息 技术 安全 性 评估 准则 第 2 部 分 : 安全 功能 要 求 
信息 技术 安全 技术 信息 技术 安全 性 评估 准则 第 3 部 分 : 安全 保证 要 求 


522 信息 安全 标准 体系 框架 


我 国信 息 安全 标准 体系 框架 如 图 5-2-1 所 示 。 


3 应 用 与 工程 标准 
1 基础 类 信息 安全 国家 标准 下 | 入 
1) 信息 安全 术语 E 系统 与 网 络 标准 
Ky | 水 
(1) 数据 处 理 词汇 08 部 分 : 控制 .完整 性 和 安全 性 | 准 物理 安全 标准 准 
(GB/T 5271. 8 一 1993: IDT ISO 2382. 8-1996) 。 
(2) 军用 计算 机 安全 术语 (GJB 2256 一 94) 。 图 5-2-1 我 国 的 信息 安全 
(3) 信息 安全 术语 。 标准 体系 框架 


2) 信息 安全 体系 结构 

(1) OSI 安全 体系 结构 (9387. 2-1995 IDT ISO 7498-2) 。 
(2) TCP/IP 安全 体系 结构 (RFC 1825 ) 。 

(3) 通用 数据 安全 体系 (CDSA)。 


3) 信息 安全 框架 


(1) 开放 系统 安全 框架 (ISO 10181-1)。 

(2) 鉴别 框架 (ISO 10181-2) 。 

(3) 访问 控制 框架 (ISO 10181-3) 。 

(4) 抗 否认 框架 (ISO 10181-4) 。 

(5) 完整 性 框架 (ISO 10181-5)。 

(6) 机 密 性 框架 (ISO 10181-6) 。 

(7) 安全 审计 框架 (ISO 10181-7) 。 

(8) 管理 框架 (ISO 7498-4) 。 

(9) 安全 保证 框架 (ISO/IEC WD 15443 :1999) 。 
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4) 信息 安全 模型 

(1) 高 层 安全 模型 (ISO 10745 ) 。 

(2) 通用 高 层 安 全 (ISO/VIEC 11586) 。 

(3) 低层 安全 模型 (ISO/IEC 13594) 。 

(4) 传输 层 安全 模型 。 

(5) 网 络 层 安全 模型 。 

5) 信息 安全 技术 

(1) 加 密 技 术 。 

@ 算法 注册 (ISO/IEC 9979:1999); 

@ 64 位 块 加 密 算法 操作 方式 (GB/T 15277 IDT ISO 8372); 

@ n 位 块 加 密 算法 操作 方式 (GB/T 17964 IDT ISO/IEC 10116); 

@ 随机 比特 生成 (ISO/IEC WD 18031:2000)， 

@ 素数 生成 (ISO/IEC WD 18032:2000); 

@ 密 钥 管理 第 一 部 分 框架 (GB 17901 一 1:1999 IDT ISO/IEC 11770. 1:1996); 
@ 密 钥 管理 第 二 部 分 使 用 对 称 技术 的 机 制 (GB 17901 一 2:1999 IDT ISO/IEC 


L1170. L51998)5 


@ 密 钥 管理 第 三 部 分 使 用 非 对 称 技术 的 机 制 (GB 17901 一 3:1999 IDT ISO/IEC 


11770. 1:1998); 
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@ 分 组 密码 算法 ，; 

@ 公开 密 钥 密码 算法 ; 

@ 序列 密码 算法 。 

(2) 签名 技术 。 

@ 带 消息 恢复 的 数据 签名 方案 (GB/T 15852:1995 IDT ISO/IEC 9796); 
@ 带 附录 的 数字 签名 (GB/T 17902 IDT ISO/IEC 14888); 

@ 散 列 函数 (GB/T 18238 IDT ISO/IEC 10118) 。 

(3) 完整 性 机 制 。 

@ 作 密 码 校 验 函数 的 数据 完整 性 机 制 (GB 15852:1995 IDT ISO/IEC 9797:1994); 
@ 消息 鉴别 码 (ISO/IEC 9797); 

@ 校 验 字符 系统 (ISO/IEC CD 7064:1999) 。 

(4) 鉴别 机 制 。 

Q@ 实体 鉴别 (GB/T 15843 IDT ISO/IEC 9798); 

@ 目录 框架 鉴别 (ISO/IEC 9594-8:1997 /ITU-T X. 509); 

@ 消息 鉴别 。 
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(5) 访问 控制 机 制 : 安全 信息 对 象 (ISO/IEC FDIS 15816 :1999) 。 

(6) 抗 否认 机 制 。 

@ 抗 否 认 (GB/T 17903:1999 IDT ISO/IEC 13888:1998); 

@ 时 间 截 服务 (ISO/IEC WD 18014:2000) 。 

(7) 路 由 选择 控制 机 制 。 

(8) 通信 业务 填充 机 制 : 网 络 层 安 全 协议 (GB/T 17963:2000 IDT ISO/IEC 11577: 
1995)。 

(9) 公证 机 制 。 

@ 可 信 第 三 方 服务 管理 指南 (ISO/IEC FDIS 14516:1999); 

@ 可 信 第 三 方 服务 规范 (1SO/IEC FDIS 15945:1999)， 

(10) 可 信 程度 。 

(11) 事件 检测 和 报警 。 

Q@ IT 入侵 检测 框架 (ISO/IEC PDTR 15947:1999); 

@ 安全 预警 技术 。 

(12) 安全 审计 跟踪 。 

(13) 安全 标记 。 

@ 用 户 接口 安全 标记 ; 

@ 数据 管理 安全 标记 ; 

@ 数据 交换 安全 标记 ; 

@ 数据 通信 安全 标记 ; 

@ 操作 系统 安全 标记 。 

(14) 安全 恢复 。 

(15) 其 他 技术 。 

@ PKI 技术 ， 

@ KMI 技术 ; 

@ PMI 技 术 。 


2 物理 安全 类 信息 安全 国家 标准 
1) 物理 环境 安全 
(1) 机 房 。 
@ 计算 机 场地 通用 规范 (GB/T 2887:2000); 
@ 计算 机 场地 安全 要 求 (GB 9361:1988); 
@ 计算 机 机 房 用 活动 地 板 技术 条 件 (GB 6650 一 1986); 
145 


级 ); 
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@ 电子 计算 机 机 房 设 计 规范 (GB 50174 一 1993) 。 

(2) 计算 机 信息 系统 防 雷 保安 器 (GA 173 一 98) 。 

(3) 电磁 泄露 发 射 (TEMPST ) 。 

@ BMB 1 一 1994 电话 机 电磁 泄露 发 射 限 值 和 测试 方法 (机 密级 ); 

@ BMB 2 一 1998 使 用 现场 的 信息 设备 电磁 泄露 发 射 检查 测试 方法 和 安全 判 据 ( 绝 密 


@ BMB 3 一 1999 处 理 涉 密 信息 的 电磁 屏蔽 室 的 技术 要 求 和 测试 方法 (机 密级 ); 
@ BMB 4 电磁 干扰 器 技术 要 求 和 测试 方法 (秘密 级 ); 

@ BMB 5 涉 密 信 息 设 备 使 用 现场 的 电磁 泄露 发 射 防护 技术 要 求 ( 秘 密级 ); 
@ GGBB 1 一 1999 信息 设备 电磁 泄露 发 射 限 值 ( 绝 密级 ); 

@ GGBB 2 一 1999 信息 设备 电磁 泄露 发 射 测 试 方法 (绝密 级 ) 。 

(4) 电磁 兼容 (GB 9254 一 1988) 。 

(5) 电磁 干扰 。 

(6) 电气 安全 。 

2) 介质 安全 

(1) 媒体 安全 。 

(2) 存储 场地 安全 。 


3 系统 与 网 络 类 信息 安全 国家 标准 
1) 安全 协议 

(1) 安全 数据 交换 协议 IEEE 802. 10。 
(2) 密 钥 管理 协议 IEEE 802. 10c。 

(3) 传输 层 安全 协议 (ISO 10736 ) 。 

(4) 应 用 层 安全 协议 (ISO 11577) 。 

(5) 网 络 管理 协议 (SNMP) 。 

(6) IPSec 协议 。 

(7) XML。 

2) 安全 信息 交换 语法 规则 

本 书 略 。 

3) 网 络 平台 安全 标准 

本 书 略 。 

4) 应 用 平台 安全 标准 

(1) 数据 库 安全 ,可 供 参照 的 标准 如 下 : 
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Q@ DoDD 8320. 1 美国 国防 部 数据 库 管理 ; 

@ NCSC-TC-021 TESEC 对 数据 库 管 理 系统 的 解释 ; 

@@ FIPS PUB 127-1 Database Language SQL(ANSI X3. 135-1992) 。 

(2) Web 安全 技术 ,可 供 参照 的 标准 如 下 : 

© RFC 2084, Considerations for Web Transaction Security; 

©@ RFC 2068, Hypertext Transfer Protocol-HTTP/1.1; 

@ The SSL Protocol Version 3.0,1996; 

由 IETF-Draft, The Private Communication Technology Protocol,1995; 

© IETF-Draft, The Hypertext Transfer Protocol,1995 。 

(3) E-mail 安全 技术 ,可 供 参 照 的 标准 如 下 : 

© RFC 2311, S/MIME Version 2 Message Specification; 

©@ RFC 2312, S/MIME Version 2 Certificate Handling; 

@ RFC 2440, Open PGP Message Format; 

@ RFC 1412, Privacy Enhancement for Internet Electronic Mail: Part 1: Message 
Encryption and Authentication Procedures; 

© RFC 1422, Privacy Enhancement for Internet Electronic Mail: Part 2:Certificate-Based 
Key Management; 

© RFC 1423, Privacy Enhancement for Internet Electronic Mail: Part 3: Algorithms, 
Modes, and Identifiers; 

© RFC 1424, Privacy Enhancement for Internet Electronic Mail: Part 4:Key Certification 
and Related Services; 

Q@ IETF-Draft，Cryptographic Message Syntax; 

©@ IETF-Draft, Enhanced Security Services for S/MIME; 

WD IETF-Draft, S/MIME Version 3 Message Specification; 

@ IETF-Draft, S/MIME Version 3 Certificate Handling; 

四 IETF-Draft, Certificate Distribution Specification; 

@® IETF-Draft, Diffie-Hellman Key Agreement Method; 

@ IETF-Draft, Domain Security Services Using S/MIME:; 

图 IETF-Draft, Examples of CMS Message Bodies 。 

(4) FTP 安全 技术 ,可 供 参 照 的 标准 如 下 : 

© IETF-Draft, Kerberos Change Password protocol; 

©@ IETF-Draft, The Kerberos Network Authentication Service(v5); 

©®@ IETF-Draft, FTP Authentication Using DSA; 
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@ IETF-Draft, Extension to Kerberos v5 for Additional Initial Encryption; 
© IETF-Draft, The Kerberos v5 GSSAPI Mechanism, Version 2; 
© RFC 1510, The Kerberos Network Authentication Service(v5)。 
(5) SSH, 可 供 参照 的 标准 如 下 : 

©@ IETF-Draft, SSH Protocol Architecture; 

©@ IETF-Draft, SSH Transport Layer Protocol; 

@ IETF-Draft, SSH Authentication Protocol; 

@ IETF-Draft, SSH Connection Protocol; 

© RFC 1411, Telnet Authentication: Kerberos Version 4; 

© IETF-Draft, Generic Message Exchange Authentication for SSH。 
(6) 电子 商务 ,可 供 参 照 的 Internet 商务 标准 和 SET 标准 分 别 是 : 


© The Standard for Internet Commerce, Part 1: Business to Consumer (Draft 


1.0),1999; 


© SET Secure Electronic Transaction Specification, Version 1.0,1997。 
5) 业务 应 用 安全 
金融 \ 证 券 , 党 政 机 关 , 军 队 、 电 信 、 工 商 \ 税 务 、 社 保 \ 海 关 和 电力 等 行业 的 业务 应 用 


安全 。 


4 应 用 与 工程 类 信息 安全 国家 标准 

1) 信息 安全 产品 

(1) 包 过 滤 防 火 墙 (GB/T 18019) 。 

(2) 应 用 级 防火 墙 (GB/T 18020) 。 

(3) 应 用 代理 服务 器 (GB/T 17900)。 

(4) 安全 路 由 器 (GB/T 18018) 。 

(5) 证 书 认证 中 心 (参见 (电子 商务 安全 证 书 认证 中 心 的 安全 要 求 ), 中 国 国家 信息 安 


全 测评 认证 中 心 ) ; 
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@ PKCS# 
@ PKCS# 
加 PKCS# 


1: RSA Encryption Standard. Version 1.5, Nov. 1993; 

3 

5 
@ PKCS# 6: Extended-certificate Syntax Standard. Version 1.5, Nov. 1993; 

8 

9 


: Diffie-Hellman Key-Agreement Standard. Version 1.4, Nov. 1993; 
: Password-Based Encryption Standard. Version 1.5. Nov. 1993; 


© PKCS# 
© PKCS# 
© PKCS# 


: Cryptographic Message Syntax Standard. Version 1.5, Nov. 1993; 
: Private-Key Information Syntax Standard. Version 1.2, Nov. 1993; 
: Selected Attribute Types. Version 1.1, Nov. 1993; 
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PKCS# 10: Certification Request Syntax Standard. Version 1.0, Nov. 1993; 
@ PKCS# 11: Cryptographic Token Interface Standard. Version 1.0, Apr. 1995; 
@ RFC 1777: Lightweight Directory Access Protocol, Mar. 1995; 

DD RFC 2251: Lightweight Directory Access Protocol (v3), Dec. 1997; 

四 RFC 2256: A Summary of the X. 500(96) User Schema for Use with LDAP v3, 
Dec. 1997; 

B® RFC 2307: An Approach for Using LDAP as a Network Information Service, 
Mar. 1998; 

@ RFC 1521-1522: MIME ,Sep. 1993; 

@® RFC 2312: S/MIME v2 Certificate Handling, Mar 1998; 

®@ RFC 1421-1424: Privacy Enhancement for Internet Electronic mail, Feb. 1993; 
DD RFC 821: Simple mail Transfer protocol, Aug. 1982; 

@ RFC 1750:“ 随 机 书 安全 建议 ”; 

四 RFC 2104:“HMAC: 消息 认证 的 密 钥 散 列 ?所 指定 的 Hash 函数 ， 

四 Internet Draft: The SSL Protocol v3, Nov. 1996; 

@D Internet Draft: Certificate Management Messages over CMS, Mar. 1998; 


四 Internet Draft: Internet X. 509 Public Key Infrastructure: Certificate 
Management Message Formats, Feb. 1998; 

@ Internet Draft: Internet X. 509 Public Key Infrastructure: Certificate 
Management Message Protocols, Feb. 1998; 

@ Internet Draft: Certificate Request Message Formats, Feb. 1998; 

四 Internet Draft: X. 509 Internet Public Key Infrastructure: Online Certificate 
Status Protocol, Apr. 1998; 

@ Internet Draft: X. 509 Internet Public Key Infrastructure: Open CRL 
Distribution Process (Open CDP). Apr. 1998; 

@ Internet Draft: SPKI Requirements, Mar. 1998; 

加 Internet Draft: SPKI, Mar. 1998; 

图 Internet Draft: Web-Based Certificate Access protocol— Web CAP/1.0,Apr. 1998; 

WW Internet Draft: Internet Public Key Infrastructure: X. 509 Certificate and CRL 
Profile, Mar. 1998; 

DD Internet Draft: Internet X. 509 Public Key Infrastructure: Operational 
Protocols-FTP and HTTP。 

(6) 网 络 密码 机 (包括 宽带 网 络 密码 机 ) 。 
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(7) 智能 卡 ( 包 括 SIM 卡 ,金融 卡 ), 可 供 参照 的 标准 如 下 : 

Q@ GB/T 14916 一 94 识别 卡 物理 特性 (ISO/IEC 7810:1985); 

@ GB/T 17552 一 98 识别 卡 金融 卡 交易 (ISO/TEC 7813:1995); 

@ GB/T 16649. 1 一 1996 识别 卡 带 触 点 的 集成 电路 卡 第 一 部 分 物理 特性 (ISO/ 


IEC 7816-1:1998); 


@ GB/T 16649. 2 一 1996 识别 卡 带 触 点 的 集成 电路 卡 第 二 部 分 触 点 的 尺寸 和 位 置 


(ISO/IEC 7816—2:1998); 


@ GB/T 16649. 3 一 1996 识别 卡 带 触 点 的 集成 电路 卡 第 三 部 分 电信 号 和 传输 协议 


(ISO/IEC 7816-3:1998); 
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@ ISO 7816-1 识别 卡 一 一 带 触 点 的 集成 电路 卡 ; 

@ ISO 7816-2 触 点 尺寸. 数量 .用途 和 位 置 ; 

ISO 7816-3 IC 卡 和 接口 设备 之 间 的 电子 信号 和 报 文 交换 协议 ; 

@ ISO 7816-4 行业 间 交 换 命令 ,IC 卡 数 据 组 织 复 位 响应 ; 

@@ ISO 7816-5 应 用 标识 符 的 编号 体系 和 应 用 提供 者 标识 符 的 注册 程序 ; 
@ ISO 10202 金融 事务 卡 ,使 用 集成 电路 卡 的 金融 事务 系统 的 安全 体系 结构 ; 
@ ISO 14443 不 带 触 点 的 集成 电路 卡 。 

(8) IC 卡 (ISO/IEC 7816/7813) 。 

(9) 安全 PC 卡 , 可 供 参 照 的 标准 如 下 : 

© PC CARD STANDARD RELEASE 2. 1， 

@ FORTEZZA 应 用 实现 者 指南 ,MD 4002101-1. 52,1996. 3.5; 

@ FORTEZZA 密码 逻辑 接口 程序 员 指南 ,MD 4002101-1. 52,1996. 1. 30。 
(10) 语音 保密 设备 ,可 供 参 照 的 标准 如 下 : 

@ GB 4943—1995; 

@ FIPS 140-1; 

@ GJB XXXX 一 XX; 

@ MIMA。 

(11) 数据 保密 设备 ,可 供 参照 的 标准 如 下 : 

© GB 4943—1995; 

@ FIPS 140-1; 

@ GJB XXXX 一 XX; 

@ MIMA。 

(12) 传真 保密 设备 ,可 供 参照 的 标准 如 下 : 

文件 传真 机 (模拟 ) 的 收发 同步 合作 因数 、 合 作 指 数 .引起 错位 的 拌 动 以 及 跟踪 载 频 
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偏离 的 能 力 等 均 应 以 传真 稿件 的 高 保 真 为 基础 ,传真 接口 应 该 可 靠 ` 安 全。 模拟 传真 机 不 
宜 用 于 保密 要 求 级 别 高 的 通信 ,并 且 在 使 用 时 应 该 对 传真 信号 进行 二 维 以 上 的 置 乱 掩 盖 。 
党 政 机 关 应 使 用 保密 通信 要 求 为 1~4 类 的 传真 机 及 其 内 置式 装置 (例如 modem)。 这 4 
类 传真 机 的 技术 标准 分 别 是 : 

@ 1 类 ; GB 10198. 1 一 88( 等 同 于 CCITT T. 2(1976)); 

@ 2 类; GB 10198. 2 一 88( 等 同 于 CCITT T. 3(1980)); 

@ 3 类 : GB 10198. 3 一 88( 等 同 于 CCITT T. 4(1980) ); 

@ 4 类 : GB 10198. 4 一 88( 等 同 于 CCITT T. 563(1988) ) 。 

(13) 入 侵 检测 产品 (可 参照 GB/T 20275 一 2006) 。 

(14) 漏洞 扫描 产品 (可 参照 GB/T 20278 一 2006,GB/T 20280 一 2006)。 

(15) 安全 审计 产品 。 

(16) 身份 认证 产品 (包括 生物 特征 识别 .一 次 性 口令 ) 。 

(17) 安全 交换 机 。 

(18) 安全 VPN ,可 供 参照 的 标准 如 下 : 

Q@ RFC 1825 Internet 协议 安全 架构 ; 

@ RFC 1826 IP 认证 头 ; 

@ RFC 1827 IP 封装 安全 净 载 (ESP); 

@ RFC 1828 利用 密 钥 化 的 MD5 进行 IP 认 证 ; 

@ RFC 1829 ESP DES-CBC 转化 ; 

@ RFC 2085 利用 relay 防护 进行 HMAC-MD5 IP 认证 ; 

@ RFC 2104 HMAC: 用 于 报 文 认证 的 密 钥 散 列 。 

(19) 安全 PC 卡 。 

(20) 网 络 隔离 部 件 (可 参照 GB/T 20277 一 2006,GB/T 20279 一 2006) 。 

(21) 防毒 产品 。 

(22) 安全 芯片 。 

(23) 安全 操作 系统 (可 参照 GB/T 20008 一 2005,GB/T 20272 一 2006) 。 

(24) 安全 数据 库 ( 可 参照 GB/T 20009 一 2005,GB/T 20273 一 2006) 。 

(25) 安全 服务 器 。 

(26) 风险 分 析 系 统 。 

(27) 安全 网 管 系统 。 

(28) 中 间 件 。 

2) 安全 工程 与 服务 

(1) 系统 安全 工程 能 力 成 熟 度 模型 (SSE-CMM)。 
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(2) 安全 工程 质量 。 

(3) 安全 工程 监理 。 

(4) 信息 安全 服务 资质 。 
3) 人 员 资 质 

4) 行业 应 用 


5 管理 类 信息 安全 国家 标准 

1) 管理 基础 

(1) 安全 产品 分 类 编码 。 

(2) 信息 技术 安全 管理 指南 (ISO/IEC 13335)。 

(3) 信息 安全 管理 (ISO/IEC TR 17799)。 

(4) 计算 机 信息 系统 安全 保护 等 级 划分 准则 (GB 17859 :1999)。 

2) 系统 管理 

(1) 安全 报警 报告 功能 (GB 17143. 7 一 1997 IDT 10164. 7 一 1992) 。 
(2) 安全 审计 跟踪 功能 (GB 17143. 8 一 1997 IDT 10164. 8 一 1992)。 
(3) 访问 控制 对 象 和 属性 (GB 17143. 9 一 1997 IDT 10164. 9 一 1992)。 
(4) 风险 管理 。 

3) 测评 认证 

(1) 信息 技术 安全 性 评估 准则 (GB/T 18336 IDT ISO/IEC 15408:1999) (CC)。 
(2) PP/ST 产生 指南 (ISO/IEC PDTR 15446 :2000) 。 

(3) 通用 测评 方法 (SC27 N2722/CEM)。 

(4) PP 注册 (ISO/IEC CD 15292:2000)。 

(5) 系统 安全 工程 能 力 成 熟 度 模型 (SSE-CMM)。 

(6) 安全 工程 质量 评估 准则 (可 参照 GB/T 20282 一 2006)。 

(7) 信息 安全 服务 评估 准则 。 


5.3 ”小 结 


本 章 介绍 了 国际 和 国内 的 信息 安全 标准 工作 情况 ,内 容 包 括 国际 上 的 信息 安全 标准 

化 组 织 、 美 国信 息 安 全 标准 分 类 我 国信 息 安全 标准 现状 和 信息 安全 标准 体系 框架 ,重点 

介绍 了 我 国 的 信息 安全 标准 体系 框架 。 希 望 这 些 内 容 能 够 帮助 读者 全 面 了 解 信息 安全 标 
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IE 避 基 Eee 
准 化 工作 的 概况 。 
习题 
1. 国际 上 有 了 哪些 代表 性 的 信息 安全 标准 化 组 织 ? 


2. 美国 的 信息 安全 标准 主要 有 哪 几 类 ? 
3. 简要 描述 我 国 的 信息 安全 标准 体系 框架 。 
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第 6 章 
四 信息 安全 管理 


信息 安全 管理 是 获得 信息 保障 能 力 的 重要 源泉 ,因此 也 是 构建 信息 安全 体系 结构 不 
可 忽视 的 重要 因素 。 信 息 安 全 管理 把 分 散 的 技术 因素 .人 为 因素 ,通过 政策 规则 协调 整合 
成 为 一 体 ,服务 于 信息 化 使 命 的 安全 目标 。 

信息 安全 管理 的 相关 内 容 非常 多 。 本 节 主 要 介绍 风险 评估 信息 安全 管理 标准 ISO/ 
IEC 17799-1:2005 和 信息 安全 法 律 法 规 这 三 方面 内 容 。 


| 转 ) 关于 风险 评估 


611 概念 


风险 评估 (risk assessment) ,也 称 风险 分 析 。 从 风险 评估 因子 的 角度 考虑 ,风险 评估 
指 的 是 对 信息 和 信息 处 理 设 施 的 威胁 (threat) .影响 (impact) 和 脆弱 性 (vulnerability) 这 
三 个 因子 及 三 者 发 生 的 可 能 性 进行 评估 。 一 般 地 ,威胁 以 某 种 概率 来 利用 脆弱 性 ,这 种 概 
率 与 多 种 因素 相关 联 。 这 些 因素 包括 : 威胁 主体 (威胁 的 来 源 与 有 关 人 员 的 素质 ) .攻击 
方法 ,攻击 成 功 的 时 间 。 同 时 ,通常 是 通过 威胁 对 信息 资产 的 影响 (后 果 ) 来 描述 这 些 受 保 
护 的 信息 资产 的 价值 。 

威胁 发 生 的 可 能 性 大 小 与 威胁 发 生 的 条 件 密切 相关 。 针 对 具体 的 环境 ,在 考虑 威胁 
发 生 的 可 能 性 时 应 考虑 信息 资产 的 脆弱 性 ,并 依据 这 些 脆弱 性 对 威胁 发 生 的 可 能 性 大 小 
进行 修正 。 在 确定 风险 大 小 的 级 别 时 ,可 以 采用 二 元 风险 分 析 法 测量 风险 。 其 中 ,“ 二 元 ” 
指 的 是 经 过 修正 的 威胁 利用 脆弱 性 发 生 的 可 能 性 和 威胁 对 信息 资产 造成 的 后 果 或 潜在 影 
响 ( 严 重 性 ) 这 两 个 因素 。 

从 确认 安全 风险 及 其 大 小 的 角度 考虑 ,风险 评估 指 的 是 利用 适当 的 风险 评估 工具 , 包 
括 定性 和 定量 的 方法 ,确定 资产 风险 等 级 和 优先 控制 顺序 。 

风险 评估 属于 组 织 信息 安全 管理 体系 策划 的 过 程 ,是 进行 风险 管理 的 基础 ,也 是 组 织 
确定 信息 安全 要 求 的 途径 之 一 。 它 主要 基于 对 现 有 信息 系统 进行 安全 核查 与 分 析 , 从 信 
息 资产 价值 .系统 脆弱 性 .系统 面临 的 威胁 等 方面 确定 存在 的 安全 隐患 和 风险 级 别 , 根 据 
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结果 提交 安全 分 析 报 告 ,作为 系统 需求 分 析 和 安全 设计 的 基础 ,为 提高 系统 整体 安全 防护 
能 力 提供 重要 依据 。 

信息 系统 安全 评估 过 程 也 是 一 个 系统 安全 需求 分 析 的 过 程 。 风 险 分 析 可 以 从 评估 资 
产 价值 (assets) .威胁 (threats) 和 脆弱 性 (vulnerabilities) 级 别 , 业务 影响 分 析 等 方面 评估 
风险 级 别 。 同 时 ,在 风险 评估 的 过 程 中 ,要 求 考虑 现 有 的 安全 防范 机 制 。 

风险 管理 是 识别 ,控制 .降低 或 消除 安全 风险 的 过 程 。 该 过 程 通过 风险 评估 来 识别 风 
险 的 大 小 。 在 此 基础 上 ,通过 制定 信息 安全 方针 .采取 适当 的 控制 目标 与 控制 方式 对 风险 
进行 控制 ,使 风险 被 避免 .转移 或 降 至 一 个 可 被 接受 的 水 平 。 

风险 评估 的 作用 是 明确 安全 需求 及 确定 切实 可 行 的 控制 措施 。 全 面 系统 的 风险 评估 
是 实施 有 效 地 风险 管理 的 基础 。 

风险 评估 主要 考虑 ， 

。 信息 资产 及 其 价值 

。 对 这 些 资 产 的 威胁 以 及 它们 发 生 的 可 能 性 ; 

。 漏洞 与 脆弱 性 ; 

。 已 有 的 安全 控制 措施 。 

风险 评估 可 以 识别 组 织 所 面临 的 安全 风险 ,确定 与 之 相应 的 风险 控制 的 优先 等 级 , 明 
确 安全 需求 ,确定 切实 可 行 的 控制 措施 ,从 而 将 风险 控制 在 组 织 可 以 接受 的 范围 之 内 。 全 
面 系统 的 风险 评估 是 实施 有 效 地 风险 管理 的 基础 。 

根据 信息 安全 工程 学 和 信息 安全 风险 管理 的 理论 ,对 于 一 个 指定 的 信息 网 络 系统 ,在 
信息 安全 风险 评估 的 基础 上 ,明确 信息 系统 中 所 存在 的 各 种 信息 安全 风险 ,并 制定 相应 的 
信息 安全 策略 ,通过 信息 安全 管理 和 各 种 信息 安全 技术 的 实施 ,实现 对 信息 系统 的 各 种 安 
全 风险 的 控制 ,控制 目标 与 控制 方式 的 选择 建立 在 风险 评估 的 基础 之 上 。 信 息 安全 来 自 
“三 分 技术 ,七 分 管理 ”, 风 险 评 估 是 信息 安全 管理 的 重要 手段 ,也 是 确定 安全 需求 ,制定 安 
全 策略 ,制定 安全 规范 和 实施 安全 方案 的 基础 。 

但 是 ,风险 的 量化 是 一 件 非常 复杂 的 工作 。 风 险 的 来 源 、 表 现形 式 .造成 的 后 果 发生 
的 可 能 性 与 风险 的 影响 都 需要 建立 在 科学 的 分 析 方 法 学 和 数学 模型 之 上 。 


612 步骤 


风险 评估 的 基本 步骤 是 : 按照 组 织 商 务 动作 流程 进行 资产 识别 、 并 根据 估价 原则 对 
资产 进行 估价 。 根 据 资产 所 处 的 环境 进行 威胁 识别 与 评价 。 对 应 每 一 威胁 ,对 资产 或 组 
织 存 在 的 脆弱 性 进行 识别 与 评价 。 对 已 采取 的 安全 控制 进行 确认 。 建 立 风险 测量 的 方法 
及 风险 等 级 评价 原则 ,确定 风险 的 大 小 与 等 级 。 

风险 评估 过 程 由 输入 (input) ,过程 (process) 和 输出 (output) 三 个 环节 构成 。 其 中 ， 
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这 三 个 环节 的 具体 内 容 分 别 是 ， 

(1) 输入 : 资产 识别 与 估价 ,威胁 识别 与 评价 ,脆弱 性 识别 与 评价 ,对 已 采取 的 安全 
控制 进行 确认 。 

(2) 过 程 : 风险 评估 ,原则 ,测量 与 等 级 划分 。 

(3) 输出 : 风险 控制 。 

在 进行 风险 评估 时 ,应 考虑 的 对 应 关系 主要 是 资产 与 威胁 的 对 应 关系 。 每 一 项 资产 
可 能 存在 多 个 威胁 。 威 胁 的 来 源 可 能 不 止 一 个 ,应 从 人 员 ( 包 括 内 部 与 外 部 )、 环 境 ( 如 自 
然 灾 害 ) ,资产 本 身 ( 如 设备 故障 ) 等 方面 加 以 考虑 。 每 一 威胁 可 能 利用 一 个 或 数 个 脆弱 
性 。 这 种 对 应 关系 可 以 表述 如 下 : 

资产 ; 威胁 1 一 [来 源 I| 脆弱 性 本 
风险 评估 中 各 个 要 素 之 间 的 关系 如 图 6-1-1 所 示 。 


脆弱 性 


图 6-1-1 风险 评估 各 要 素 关系 图 


一 般 地 ,进行 风险 评估 可 以 按照 以 下 五 个 步骤 依次 进行 。 


1 资产 识别 与 估价 
为 了 明确 被 保护 的 信息 资产 ,组 织 应 列 出 与 信息 安全 有 关 的 资产 ,对 每 一 项 资产 进行 
确认 和 适当 的 评估 。 为 了 防止 资产 被 忽视 或 遗忘 ,在 识别 资产 之 前 应 确定 风险 评估 范围 。 
所 有 在 评估 范围 之 内 的 资产 都 应 该 被 识别 ,因此 要 列 出 对 组 织 的 特定 部 门 的 业务 过 程 有 
价值 的 任何 事物 ,以 便 根据 组 织 的 商务 流程 来 识别 信息 资产 。 在 进行 资产 识别 时 ,应 考虑 
以 下 几 方 面 : 
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(1) 数据 与 文档 : 数据 库 和 数据 文件 ,系统 文件 .用户 手册 .培训 资料 .运作 和 支持 程 
序 .持续 性 计划 ,应 急 安 排 。 

(2) 书面 文件 : 合同 方针、 企业 文件 .保持 重要 商业 结果 的 文件 。 

(3) 软件 资产 : 应 用 软件 ,系统 软件 .开发 工具 和 公用 程序 。 

(4) 实物 资产 : 计算 机 和 通信 设备 、 磁 质 媒体 (磁带 和 磁盘 ) .其 他 的 技术 型 设备 ( 电 
源 、 空 调 ) 家具、 处 所 。 

(5) 人 员 : 具有 特定 技能 的 职员 。 

(6) 服务 : 计算 和 通信 服务 .其 他 的 技术 型 服务 ( 供 热 . 照 明 ,动力 ,空气 ) 。 

经 过 资产 识别 与 估价 后 ,组 织 应 根据 资产 价值 的 大 小 进一步 确定 需要 保护 的 关键 
资产 。 

2 威胁 识别 与 评价 

对 组 织 需 要 保护 的 每 一 项 关键 信息 资产 进行 威胁 识别 。 在 威胁 识别 过 程 中 ,应 根据 
资产 所 处 的 环境 条 件 和 资产 以 前 遭受 威胁 损害 的 判断 ,一 项 资产 可 能 面临 着 多 个 威胁 , 同 
样 一 个 威胁 可 能 对 不 同 的 资产 造成 影响 。 威 胁 识别 应 确认 威胁 由 谁 或 什么 事物 引发 以 及 
威胁 评估 的 信息 能 够 从 信息 安全 管理 的 有 关 人 员 ,以 及 相关 商业 过 程 中 获得 ,这 些 人 可 能 
是 人 事 部 的 职员 ,设备 策划 和 IT 专家 ,也 包括 组 织 内 部 负责 安全 的 人 员 。 

对 威胁 发 生 的 可 能 性 进行 分 析 。 确 定 威胁 发 生 的 可 能 性 是 风险 评估 的 重要 环节 ,组 
织 应 根据 经 验 和 (或 ) 在 关 的 统计 数据 来 判断 威胁 发 生 的 频率 或 者 发 生 的 概率 。 威 胁 发 生 
的 可 能 性 受 下 列 因 素 的 影响 。 

资产 的 吸引 力 ,资产 转化 成 报酬 的 容易 程度 ,威胁 的 技术 含量 ,薄弱 点 被 利用 的 难 易 
程度 。 

威胁 发 生 的 可 能 性 大 小 可 以 采取 分 级 赋值 的 方法 予以 确定 。 例 如 ,将 可 能 性 分 为 三 
个 等 级 : 非常 可 能 一 3; 大 概 可 能 一 2; 不 太 可 能 一 1。 

威胁 事件 发 生 的 可 能 性 大 小 与 威胁 事件 发 生 的 条 件 是 密切 相关 的 。 例 如 ,消防 管理 
好 的 部 门 发 生火 灾 的 可 能 性 小 。 因 此 ,上 面 根据 经 验 或 统计 获得 的 威胁 发 生 的 可 能 性 ,可 
以 是 一 个 组 织 、 相 同 或 者 社会 的 均值 ,对 于 具体 环境 的 威胁 发 生 的 可 能 性 应 考虑 具体 资产 
的 薄弱 点 予以 修正 : 

PTV=RPTXKPY 

其 中 ,PTV 表示 考虑 资产 脆弱 性 因素 的 威胁 发 生 的 可 能 性 ;PT 表示 未 考虑 资产 脆弱 性 因 
素 的 威胁 发 生 可 能 性 ;PV 表示 资产 的 脆弱 性 被 威胁 利用 的 可 能 性 。 

利用 经 过 修正 的 威胁 发 生 的 可 能 性 与 威胁 所 产生 的 潜在 影响 两 个 因素 可 以 测量 风险 。 

评价 威胁 发 生 所 造成 的 后 果 或 潜在 影响 。 威 胁 一 旦 发 生 会 造成 信息 机 密 性 、 完 整 性 
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或 可 用 性 的 损失 ,从 而 给 组 织造 成 不 同 程度 的 影响 ,严重 的 威胁 发 生 会 导致 诸如 信息 系统 
崩溃 、 商 务 活动 中 断 、 财 产 损失 甚至 人 身 伤亡 等 重大 安全 事故 。 不 同 的 威胁 对 同一 资产 或 
组 织 所 产生 的 影响 不 同 , 即 导致 的 价值 的 损失 也 不 同 , 但 损失 的 程度 应 以 资产 的 相对 价值 
(或 重要 度 ) 为 限 。 
威胁 的 潜在 影响 I= 资 产 相 对 价值 VX 价值 损失 程度 CL 

价值 损失 的 程度 CL 是 一 个 小 于 等 于 1 大 于 0 的 系数 ,资产 遭受 安全 事故 后 ,其 价值 
可 能 完全 丧失 ( 即 CL =1) ,但 不 可 能 对 资产 价值 没有 任何 影响 ( 即 CL 天 0) 。 为 简化 评价 
过 程 ,可 以 用 资产 的 相对 价值 代替 其 所 面临 的 威胁 产生 的 影响 。 


3 脆弱 性 识别 与 评价 

由 于 组 织 缺乏 充分 的 安全 控制 ,组 织 需 要 保护 的 信息 资产 或 系统 存在 着 可 能 被 威胁 
所 利用 的 弱点 ,这 些 弱 点 可 能 来 自 组 织 结构 、 人 员 管理 ,程序 资产 本 身 的 缺陷 等 。 组 织 
应 针对 每 一 项 需要 保护 的 信息 资产 , 找 出 每 一 种 威胁 所 能 利用 的 脆弱 性 ,并 对 脆弱 性 的 进 
行 评价 。 换 名 话说 ,就 是 对 脆弱 性 被 威胁 利用 的 可 能 性 PV 进行 评价 ,可 以 采用 分 级 赋值 
的 方法 。 

例如 : 非常 可 能 =4, 很 可 能 =3, 可 能 =2, 不 太 可 能 =1, 不 可 能 =0。 


4 对 已 有 的 安全 控制 进行 确认 

组 织 应 将 已 采取 的 控制 措施 进行 识别 并 对 控制 措施 的 有 效 性 进行 确认 ,继续 保持 有 
效 地 安全 控制 ,以 避免 不 必要 的 工作 和 费用 ,防止 控制 的 重复 实施 。 对 于 那些 确认 为 不 适 
当 的 控制 应 核查 是 否 应 被 取消 ,或 者 用 更 合适 的 控制 代替 。 在 风险 评估 之 后 选择 的 安全 
控制 与 现 有 的 和 计划 的 控制 应 保持 一 致 。 

安全 控制 可 以 分 为 预防 性 控制 和 保护 性 措施 (如 商务 持续 性 计划 、 商 业 保险 等 ) ,预防 
性 措施 可 以 降低 威胁 发 生 的 可 能 性 和 减少 安全 脆弱 性 ,而 保护 性 措施 可 以 减少 因 威 胁 发 
生 所 造成 的 影响 。 控 制 措施 与 风险 程度 的 关系 如 图 6-1-2 所 示 。 


5 确定 风险 的 大 小 与 风险 等 级 ( 即 风险 评估 ) 

组 织 在 经 过 资产 识别 与 估价 ,威胁 与 脆弱 性 的 识别 与 评价 .已 有 控制 措施 的 确认 后 ， 
应 利用 适当 的 风险 测量 方法 或 工具 确定 风险 的 大 小 与 风险 等 级 , 即 对 组 织 信息 安全 管理 
范围 内 的 每 一 信息 资产 因 遭 受 泄露 .修改 ,不 可 用 和 破坏 所 带 来 的 任何 影响 做 出 一 个 风险 
测量 的 列表 ,以 便 识 别 与 选择 适当 和 正确 的 安全 控制 方式 ,这 也 是 组 织 策划 信息 安全 管理 
体系 的 重要 步骤 。 它 具体 包括 以 下 三 个 子 步 又: 

1) 风险 测量 方法 一 一 风险 大 小 和 等 级 评价 原则 

根据 风险 定义 所 知 ,风险 是 资产 所 受到 的 威胁 ,存在 的 脆弱 性 及 威胁 利用 脆弱 性 所 造 
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2 威胁 所 产生 的 潜在 影响 程度 
图 6-1-2 控制 措施 与 风险 程度 的 关系 


成 的 潜在 影响 三 方面 共同 作用 的 结果 。 风 险 是 威胁 发 生 的 可 能 性 (PT) ,脆弱 性 被 威胁 利 
用 的 可 能 性 (PV) 和 威胁 的 潜在 影响 (DD) 的 函数 , 记 为 : 
R=R(PT,PV,D 
其 中 ,R 表示 资产 受到 某 一 威胁 所 拥有 的 风险 ;RT 表示 威胁 发 生 的 可 能 性 ;PV 表示 
脆弱 性 被 利用 的 可 能 性 ;I 表示 威胁 的 潜在 影响 ,I=VXCL。 
由 于 威胁 的 潜在 影响 I 可 以 用 资产 的 相对 价值 V 来 代替 ,上 面 的 函数 R 可 以 改 
写 为 ， 


R=R(PT,PV,V) 

以 上 两 个 公式 都 是 考虑 三 个 变量 的 风险 计算 函数 。 如 果 将 威胁 发 生 的 可 能 性 RT 和 
脆弱 性 被 利用 的 可 能 性 PV 综合 为 一 个 变量 (因素 ), 即 威胁 真实 发 生 的 可 能 性 ( 记 为 
PTV,PTV =PTXPV, 其 中 ,PT 可 以 被 看 做 是 威胁 发 生 的 平均 可 能 性 ), 上 述 三 元 风险 
函数 可 以 改写 为 如 下 的 二 元 风险 函数 : 

R=R(PTV,V) 

无 论 二 元 还 是 三 元 风险 函数 , 均 为 增 函 数 , 即 风险 随 威 胁 的 可 能 性 、 脆 弱 性 的 被 利用 
的 程度 .资产 的 相对 价值 的 增加 (减少 ) 而 增加 (减少 )。 资 产 的 相对 价值 (V) 与 威胁 真实 
发 生 的 可 能 性 (PTV) 的 关系 如 图 6-1-3 所 示 。 

可 以 利用 二 元 或 三 元 的 方法 测量 风险 的 大 小 。 风 险 计 算 公 式 可 以 采用 简单 的 乘法 、 
和 矩阵 风险 表 等 方式 表示 。 

风险 评估 有 很 多 现成 的 工具 可 用 。 这 些 工具 可 以 分 成 以 下 几 类 : 
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威胁 发 生 的 可 能 性 PTV 


资产 的 相对 价值 /威胁 的 潜在 影响 V 
图 6-1-3 资产 的 相对 价值 (V) 与 威胁 真实 发 生 的 可 能 性 (PTV) 的 关系 


0 


(1) 扫描 工具 : 包括 主机 扫描 、 网 络 扫描 数据库 扫描 ,用 于 分 析 系 统 的 常见 漏洞 。 

(2) 入 侵 检测 系统 (IDS) : 用 于 收集 与 统计 威胁 数据 。 

(3) 渗透 性 测试 工具 : 黑客 工具 ,用 于 人 工 渗透 ,评估 系统 的 深层 次 漏洞 。 

(4) 主机 安全 性 审计 工具 : 用 于 分 析 主 机 系统 配置 的 安全 性 。 

(5) 安全 管理 评价 系统 : 用 于 安全 访谈 ,评价 安全 管理 措施 。 

(6) 风险 综合 分 析 系 统 : 在 基础 数据 基础 上 ,定量 、 综 合 分 析 系 统 的 风险 ,并 且 提 供 
分 类 统计 查询 .TOP N 查询 以 及 报表 输出 功能 。 

(7) 评估 支撑 环境 工具 : 评估 指标 库 、 知 识 库 、 漏 洞 库 算法 库 、 模 型 库 。 

无 论 采 用 哪 一 种 风险 测量 方法 或 风险 评估 工具 (无 论 是 定性 的 还 是 定量 的 ,是 简单 的 
还 是 复杂 的 ) ,要 点 都 在 于 对 威胁 发 生 所 造成 的 损失 和 威胁 发 生 的 可 能 进行 量化 ,并 且 保 
证 量化 的 结果 对 于 负责 风险 决策 的 人 是 一 致 的 和 有 意义 的 。 需 要 特别 说 明 的 是 ,在 进行 
风险 评估 时 , 绝 不 能 因为 使 用 了 不 同 的 风险 测量 方法 或 风险 评估 工具 而 形成 不 同 的 结论 。 

2) 确定 风险 的 优先 级 别 

确定 风险 数值 的 大 小 不 是 我 们 评估 的 最 终 目 的 ,重要 的 是 明确 不 同 威胁 对 资产 所 产 
生 的 风险 的 相对 值 , 即 要 确定 不 同 风险 的 优先 次 序 或 等 级 ,对 于 风险 级 别 高 的 资产 应 被 优 
先 分 配 资源 进行 保护 。 组 织 可 以 采用 按照 风险 数值 排序 的 方法 (机 会 损失 成 本 ) 的 平衡 。 

3) 选择 风险 评估 一 一 管理 软件 工具 

在 风险 评估 过 程 结束 时 ,必须 保存 评估 的 结果 (资产 和 它们 的 价值 ,威胁 .脆弱 性 和 风 
险 等 级 等 ) ,并 进行 相应 的 文件 化 处 理 ( 例 如 ,将 有 关 数 据 存储 在 数据 库 里 ) 。 

组 织 可 以 利用 软件 支持 工具 进行 风险 评估 。 这 有 助 于 简化 再 评估 过 程 。 
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ED 6.] 关于 风险 评估 mm 


在 选择 与 使 用 风险 评估 一 一 管理 软件 工具 时 应 该 考虑 以 下 事项 。 

(1) 最 起 码 应 该 包括 数据 搜集 、 分 析 和 结果 输出 模块 。 

(2) 所 依据 的 方法 应 该 反映 组 织 的 风险 评估 及 管理 的 全 部 方法 。 

(3) 对 风险 评估 和 风险 管理 的 结果 能 够 方便 的 形成 报告 。 

(4) 能 够 保持 在 数据 搜集 和 分 析 阶 段 所 采集 信息 的 历史 记录 ,以 供 将 来 的 调查 与 
评估 。 

(5) 必须 有 描述 工具 文件 。 

(6) 与 组 织 中 的 硬件 和 软件 协调 并 兼容 。 

(7) 考虑 有 关 工 具 的 使 用 培训 。 

(8) 有 关 工 具 的 安装 与 使 用 指南 。 

但 是 ,为 了 便于 具体 工作 的 顺利 进行 ,人 们 更 多 的 是 采取 如 下 9 个 步骤 进行 实际 的 风 
险 评估 。 

@ 体系 特征 描述 ; 

@ 识别 威胁 ; 

@ 识别 脆弱 性 ; 

@ 分 析 安 全 措施 ; 

@ 确定 可 能 性 ; 

@ 分 析 影 响 ; 

@ 确定 风险 ; 

建议 安全 措施 ; 

@ 记录 结果 。 

各 个 步骤 需要 的 输入 和 产生 的 输出 表示 在 图 6-1-4 之 中 。 

在 实施 风险 评估 的 过 程 当 中 ,有 时 首先 根据 不 同 级 别 的 威胁 对 不 同 价值 的 资产 可 能 
形成 的 风险 进行 分 级 ,进而 选择 适合 级 别 的 保证 措施 。 这 是 一 种 安全 需求 提炼 的 过 程 。 
而 对 于 计划 和 已 经 建设 的 系统 , 则 应 该 考虑 和 分 析 测 试 系统 可 能 存在 的 脆弱 性 。 上 述 工 
作 流 程 是 一 个 大 致 应 当 遵循 和 不 断 重复 循环 的 过 程 。 但 是 在 实践 中 ,基于 不 同 目的 和 条 
件 , 在 不 同 阶 段 所 进行 的 风险 评估 工作 ,也 可 简化 或 者 充实 其 中 的 某 些 步骤 。 


613 有 关 标 准 


目前 使 用 较 多 的 信息 安全 评估 标准 如 下 : 
(1) ISO/IEC 17799-1:2005 信息 技术 一 信息 安全 管理 实施 细则 ( 即 ISOVIEC 27002)。 
(2) ISO/IEC 15408 IT 安全 评估 准则 。 
(3) ISO/IEC TR 13335: 信息 技术 一 安全 技术 一 信息 产业 安全 管理 的 指导 方针 。 
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ES 6.2 信息 安全 管理 标准 ISO/IEC 27002 em 


(4) GB/T 18336 一 2001: 信息 技术 -安全 技术 -信息 技术 安全 性 评估 准则 。 

(5) NSA: Systems Security Engineering Capability Maturity Model (简称 SSE- 
CMM) 。 

其 中 ,有 关 ISO/VIEC 17799-1:2005 的 内 容 在 6. 2 节 中 介绍 ,有 关 SSE-CMM 的 内 容 
在 7.1.1 节 中 说 明 ,这 里 只 简单 介绍 一 下 ISO/VIEC TR 13335 。 

ISO/IEC TR 13335 是 由 ISO 组 织 和 IEC 联合 出 版 的 一 份 技术 报告 ,由 以 下 内 容 组 
成 ,各 部 分 内 容 分 别 为 : 概括 了 信息 技术 安全 方面 的 管理 任务 ,提供 安全 概念 和 模型 的 介 
绍 ;用 全 面 的 观点 来 阐述 信息 技术 安全 的 实施 与 管理 ;提供 安全 设施 的 选 型 指导 ,除了 考 
虑 安全 问题 和 威胁 之 外 ,还 需要 考虑 信息 技术 系统 的 类 型 ;在 介绍 网 络 安全 时 ,需要 考虑 
对 通信 相关 因素 进行 的 鉴别 和 分 析 。 

ISO/IEC TR 13335 这 份 标准 包含 了 针对 如 何 管理 信息 安全 的 全 面 指 导 。 由 于 这 份 
标准 主要 针对 安全 问题 ,因此 并 没有 涵盖 信息 技术 管理 领域 的 所 有 职责 。 

与 ISO/IEC 17799-1:2005 相 比 ,ISO/IEC TR 13335 只 是 一 个 技术 报告 和 指导 性 文 
件 ,没有 给 出 一 个 全 面 而 完整 的 信息 安全 管理 框架 ,相对 而 言 更 接近 于 一 种 指南 ,对 具体 
环节 切入 较 深 ,对 实际 工作 给 予 了 更 多 的 指导 价值 ,因而 具有 更 好 的 可 操作 性 。 


63 信息 安全 管理 标准 ISO/IEC 27002 


621 背景 

ISO/IEC 27002 的 全 称 是 “信息 安全 管理 实践 规则 ,直接 由 ISO/VIEC 17799:2005 更 
改 标准 编号 而 来 。 

“ISO/IEC 17799-1:2005: 信息 技术 -信息 安全 管理 实施 细则 ”是 国际 标准 化 组 织 
(ISO) 于 2005 年 颁布 的 一 项 信息 系统 安全 管理 标准 。 目 前 ,ISO/IEC 27002 已 经 在 欧洲 
国家 具有 广泛 的 影响 。 


事实 上 ,ISO/IEC 27002 起 源 于 欧洲 ,其 前 身 最 早 可 追溯 到 英国 于 1993 年 发 布 的 
BS 7799( 发 展 历程 见 图 6-2-1) 。 这 是 当年 由 英国 贸易 工业 部 (DTI) 立 项 ,并 在 BSL/DISC 
的 BDD/2 信息 安全 管理 委员 会 的 指导 下 制定 完成 和 向 外 发 布 了 最 初 的 版 本 。 

随后 ,英国 于 1995 年 首次 正式 出 版 了 BS 7799-1:1995《 信 息 安 全 管理 实施 细则 》。 该 
细则 提供 了 一 套 综合 的 、 由 信息 安全 最 佳 惯 例 组 成 的 实施 规则 ,目的 是 确定 能 够 适用 于 
大 、 中 ,小 型 工商 业 信 息 系 统 在 大 多 数 情 况 下 所 需 控制 范围 的 唯一 参考 基准 。 

1998 年 ,英国 又 公布 了 BS 7799-2:1998《 信 息 安 全 管理 体系 规范 》。 作 为 BS 7799-1 
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=| Bs 7799-2:1999 


BS 7799-1:1999 
TSO 17799:2000 
JSO 17799:2005 


图 6-2-1 BS 7799 标准 发 展 历程 


BS 7799-2:2000 


BS 7799-2:2002 


JSO 27001:2005 


的 补充 部 分 ,BS 7799-2 规定 了 信息 安全 管理 体系 要 求 和 信息 安全 控制 要 求 ,可 以 用 于 针 
对 一 个 具体 组 织 的 全 面 或 部 分 信息 安全 管理 体系 进行 评估 活动 。 因 此 ,BS 7799-2 自 出 
现 之 初 便 被 认为 可 以 作为 一 个 正式 认证 方案 的 依据 。 

1999 年 ,BS 7799-1 和 BS 7799-2 经 过 修订 得 以 重新 发 布 , 即 BS 7799-1:1999《 信 息 安 
全 管理 实施 细则 》 和 BS 7799-2:1999《 信 息 安全 管理 体系 规范 )。 新 版 本 考虑 了 信息 处 理 
技术 (尤其 是 网 络 和 通信 和 领域 当时 的 最 新 发 展 状况 ) ,同时 还 特别 强调 了 商务 涉及 的 信息 
安全 和 信息 安全 的 责任 。 

其 中 ,BS 7799-1:1999 主要 为 组 织 制定 其 信息 安全 标准 和 进行 有 效 地 信息 安全 控制 
提供 一 个 大 众 化 的 最 佳 惯例 ,推进 企业 间 的 贸易 往来 ,尤其 是 为 使 用 电子 商务 的 企业 的 共 
享 信息 的 安全 问题 提供 信任 。 

BS 7799-2:1999 规定 了 建立 、 实 施 信 息 安全 管理 体系 (ISMS) 并 对 其 进行 归档 的 要 
求 ,以 及 依据 组 织 的 需要 来 实施 安全 控制 的 要 求 , 主 要 用 于 一 个 组 织 进行 有 效 地 风险 管理 
和 寻求 信息 安全 管理 体系 第 三 方 认证 标准 这 两 种 情况 。BS 7799-2:1999 标准 分 为 两 类 ， 


即 信息 安全 管理 体系 要 求 和 信息 安全 控制 要 求 。 它 在 管理 思想 上 遵循 PDCA 模型 中 提 
出 的 持续 改进 的 管理 模式 。 


2000 年 12 月 ,BS 7799-1:1999《 信 息 安 全 管理 实施 细则 ) 被 国际 标准 化 组 织 ISO 接 
纳 并 正式 成 为 国际 标准 ,其 全 称 是 : ISO/IEC 17799-1:2000《 信 息 技术 一 一 信息 安全 管理 
实施 细则 》。 

此 后 ,ISO/ITEC 17799-1:2000 继续 得 以 应 用 和 改进 。2005 年 10 月 ,ISO 在 广泛 吸纳 
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了 业界 的 最 新 发 展 成 果 和 听取 各 方 建议 的 情况 下 ,发 布 了 该 标准 的 修订 版 , 即 ISO/ 
IEC 17799-1:2005《 信 息 技术 一 一 信息 安全 管理 实施 细则 ,使 之 作为 信息 安全 管理 的 国 
际 标准 ,更 加 适合 为 全 球 范围 内 成 千 上 万 家 正 处 于 成 长 阶段 的 电子 商务 团体 提供 服务 。 
它 强调 尽 最 大 可 能 地 保证 信息 的 安全 ,提供 商务 最 佳 惯例 ,指南 以 及 在 任何 组 织 实施 、 维 
护 \ 管 理 信息 安全 ,和 以 任何 形式 生产 和 使 用 信息 的 一 般 原 则 。 

ISO/IEC 17799:2005 认识 到 纯粹 以 技术 手段 实现 信息 安全 管理 的 效果 将 非常 有 限 。 
评定 一 个 组 织 所 需要 的 安全 级 别 必须 依赖 合适 的 管理 控制 手段 和 程序 ,通过 评估 风险 级 
别 及 相关 因素 来 确定 进行 信息 安全 管理 的 合理 投入 。 信 息 安 全 管理 工作 需要 组 织 的 所 有 
员工 主动 参与 ,有 时 还 需要 股东 ,供应 商 、 第 三 方 和 客户 的 积极 参与 。 

ISO/IEC 17799:2005 还 确定 了 进行 信息 安全 管理 必须 从 源头 上 给 以 关注 的 思想 。 
这 些 源 头 包括 关键 的 成 功 要 素 , 具 体 是 : 从 事 信息 安全 管理 工作 的 组 织 结构 ,资产 管理 状 
况 , 人 力 资源 状况 ,物理 和 环境 安全 状况 ,通信 和 操作 管理 状况 ,信息 系统 采 办 ,研制 和 维 
护 状况 , 突 发 事件 管理 状况 ,业务 连续 性 管理 状况 ,以 及 对 于 有 关 法 律 法 规 的 遵从 与 否 。 

ISO/IEC 17799:2005 标准 编制 组 的 组 长 泰 德 。 汉 姆 弗 雷 对 修订 版 进行 了 非常 客观 、 
准确 的 评价 。 他 说 :“ 该 修订 版 标准 为 各 组 织 提供 许多 以 前 没有 的 、 经 改进 的 信息 安全 管 
理 的 最 佳 实施 惯例 。 例 如 , 它 帮助 这 些 组 织 更 好 地 管理 外 部 业务 、 外 部 采 办 和 服务 提供 商 
的 保密 安全 事务 ;增强 事件 处 理 能 力 ; 处 理 patch 管理 ,移动 设备 ,无 线 技术 和 通过 互联 网 
传播 的 有 害 手 机 代码 等 问题 ;同时 , 它 还 改进 了 人 力 资源 管理 的 最 佳 惯 例 , 并 具有 其 他 几 
个 新 亮点 "。 此 外 , 泰 德 。 汉 姆 弗 雷 还 表示 :“ 该 标准 的 使 用 者 还 可 以 向 其 业务 伙伴 、 客 户 
和 供应 商 展示 其 信息 的 安全 机 密 性 ,从 而 将 其 在 信息 安全 管理 方面 的 投资 转化 为 真正 的 
商业 机 会 ,在 激烈 的 行业 竞争 中 获得 竞争 优势 ”。 

2007 年 4 月 ISO/IEC 17799:2005 更 改编 号 为 ISO/IEC 27002, 成 为 ISO/IEC 27000 
系列 标准 中 的 一 员 。 

在 ISO/IEC 17799 :2000 得 以 修订 和 改进 的 同时 ,BS 7799 一 2:1999 也 获得 了 ISO 的 
进一步 关注 。2005 年 11 月 ,ISO 在 BS 7799-2:1999 的 基础 上 正式 发 布 了 ISO/IEC 27001 
《信息 安全 管理 系统 要 求 )。 与 ISO/IEC 17799:2005 不 同 的 是 ,ISO/IEC 17799:2005 虽然 
是 信息 安全 管理 标准 ,但 其 设计 初衷 不 是 为 了 支持 认证 ,因而 也 不 适用 于 认证 工作 ,而 
ISOVIEC 27001 恰好 主要 用 于 认证 领域 。 

总 而 言 之 ,ISO/IEC 17799/BS7799 提供 了 一 个 开发 组 织 的 信息 安全 标准 ,以 及 有 效 
实施 安全 管理 的 公共 基础 ,同时 还 在 一 定 程度 上 确保 了 不 同 的 组 织 之 间 进 行 交 易 所 需 的 
可 信 度 ,符合 信息 安全 “七 分 管理 ,三 分 技术 ”的 原则 。 组 织 可 以 按照 该 标准 建立 完整 的 信 
息 安全 管理 体系 ,并 且 通 过 实施 和 保持 该 体系 ,达到 动态 的 .系统 的 .全 员 参 与 的 .制度 化 
的 、 以 预防 为 主 的 信息 安全 管理 方式 ,用 最 低 的 成 本 获得 可 接收 的 信息 安全 水 平 , 保 证 组 
织 的 业务 连续 性 。 
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622 主要 内 容 


ISO/IEC 27002 标准 有 11 个 控制 项 .39 个 控制 目标 .133 个 控制 措施 。 其 中 ,11 个 
控制 项 分 别 是 : 

(1) 信息 安全 方针 (Security policy) 。 

(2) 组 织 信息 安全 (Organization of information security) 。 

(3) 资产 管理 (Asset management) 。 

(4) 人 力 资源 安全 (Human resources security) 。 

(5) 物理 和 环境 安全 (Physical and environmental security) 。 

(6) 通信 和 操作 管理 (Communication and operation management) 。 

(7) 访问 控制 (Access control) 。 

(8) 信息 系统 的 获取 .开发 和 维护 (Information systems acquisition，development 
and maintenance) 。 

(9) 信息 安全 事故 管理 (Information security incident management) 。 

(10) 业务 连续 性 管理 (Business continuity management) 。 

(11) 符合 性 CCompliance) 。 

各 控制 项 的 详细 内 容 可 参见 表 6-2-1 。 


该 标准 由 以 下 两 个 部 分 组 成 。 
(1) 信息 系统 安全 管理 业务 守则 : 为 信息 系统 安全 提供 了 一 套 全 面 综合 了 最 佳 实践 
经 验 的 控制 措施 ,目的 是 在 信息 系统 被 用 于 工业 和 商业 用 途 时 ,为 确定 实施 控制 措施 的 范 


围 提供 一 个 可 供 不 同 规模 的 组 织 采 用 的 参考 依据 .“ 业 务 守则 ?部 分 的 内 容 详细 而 且 系 
统 ,具体 包括 : 安全 策略 ;安全 组 织 ;资产 分 类 与 控制 ;人 员 安 全 ;物理 与 环境 安全 ;通信 和 与 
操作 管理 ;访问 控制 ;系统 开发 与 维护 ;业务 连续 性 管理 ;遵循 性 等 。 

(2) 信息 系统 安全 管理 系统 规范 : 提供 了 各 种 组 织 构建 信息 系统 安全 管理 系统 的 途径 
和 方式 ,提供 了 用 于 建立 该 标准 的 信息 系统 安全 管理 系统 的 指导 框架 ,指出 了 构建 信息 系统 
安全 管理 系统 的 基本 步骤 和 方法 ,定义 了 一 个 信息 系统 安全 管理 系统 的 主要 构成 文档 。 

需要 强调 指出 的 是 ,ISO/IEC 17799 不 是 一 篇 技术 性 的 信息 安全 操作 手册 ,作为 一 个 
通用 的 信息 安全 管理 指南 ,其 目的 并 不 是 说 明 有 关 * 怎 么 做 ?的 细节 , 它 所 阐述 的 主题 是 安 
全 策略 和 优秀 的 .具有 普遍 意义 的 安全 操作 。 该 标准 特别 声明 , 它 是 “制定 一 个 机 构 自 己 
的 标准 的 出 发 点 ”, 并 不 是 说 它 所 包含 的 所 有 方针 和 策略 都 是 放 之 四 海 而 皆 准 的 。 作 为 对 
各 类 信息 安全 问题 的 高 级 别 概述 ,ISO/IEC 17799 有 助 于 人 们 在 高 级 管理 中 理解 每 一 类 
信息 安全 主题 的 基础 性 问题 。 它 广泛 涵盖 了 几乎 所 有 的 安全 议题 ,主要 告诉 管理 者 关于 
安全 管理 的 注意 事项 和 安全 制度 ,这 些 规定 一 般 单 位 都 可 执行 。 因 此 ,需要 建立 信息 安全 
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管理 体系 的 单位 可 以 此 为 参照 ,建立 自己 在 这 方面 的 体系 ,并 在 别人 经 验 的 基础 上 根据 自 
身 情 况 进行 设计 、 取 舍 , 以 达到 对 信息 进行 良好 管理 的 目的 。 
表 6-2-1 ISO/IEC 27002 内 容 一 览 表 


号 | 章节 名 称 内 容 说 明 i 


建议 组 织 应 有 一 个 阐明 信息 安全 方面 的 宗旨 和 方向 的 
5 | 信息 安全 方针 | 信息 安全 方针 ,并 形成 方针 文件 ,还 应 对 这 个 方针 文件 1 人 
进行 定期 评审 


这 里 的 “组 织 ”, 兼 有 动词 和 名 词 两 层 意思 。 组 织 的 信 
息 安全 工作 应 建立 一 个 管理 框架 , 即 组 织 机 构 , 以 确定 
6 | 组 织 信息 安全 | 信息 安全 工作 的 领导 .工作 落实 .内 部 外 部 协调 与 合 2 11 
作 、 职 责 分 配 等 。 在 这 一 章节 中 ,还 提出 了 第 三 方 服务 
和 外 包 活 动 中 的 信息 安全 控制 


“资产 ?是 这 个 标准 中 的 一 个 重要 概念 。 标 准 在 引言 中 
开 宗 名 义 :“ 信 息 是 一 种 资产 , 像 其 他 业务 资产 一 样 , 对 
7 | 资产 管理 组 织 具有 价值 ”。“ 资 产 " 是 信息 安全 工作 主要 的 保护 2 二 
对 象 。 信 息 安全 就 要 首先 知道 保护 什么 ,然后 考虑 保 
护 到 什么 程度 ,再 决定 怎样 保护 


“人 "在 信息 安全 活动 中 既是 主体 ,也 是 客体 。 主 体 是 
指 许多 信息 安全 控制 措施 的 实现 是 由 “人 "来 完成 ; 客 
体 是 指 * 人 "也 是 信息 安全 活动 中 要 保护 的 对 象 。 经 验 
| 告诉 我 们 ,一 个 组 织 重要 的 \ 有 价值 的 信息 大 多 数 存在 | 
8 | 人 力 资源 安全 | 于 员工 的 大 脑 中 ,许多 信息 安全 事件 的 发 生 是 由 人 而 | 3 
起 。“* 人 "在 信息 安全 活动 中 也 是 最 复杂 、 最 难 控制 的 
保护 对 象 。 在 这 个 章节 中 ,标准 提供 了 与 * 人 "有 关 的 
3 个 控制 目标 和 9 个 控制 措施 


物理 和 环境 的 安全 控制 不 仅 是 信息 安全 的 需要 ,也 是 
物理 和 环境 | 传统 安全 的 要 求 。 一 个 组 织 无 论 是 否 考虑 信息 安全 问 
安全 题 ,都 要 把 物理 和 环境 安全 做 好 。 因 此 ,本 章节 介绍 的 
这 些 目标 和 控制 措施 是 最 容易 理解 .最 容易 实施 的 
通信 和 操作 “通信 "是 广义 的 概念 ,主要 指 信息 交换 ,沟通 和 交流 等 
10 管理 活动 。 操 作 主 要 指 对 信息 处 理 设备 和 设施 、 信 息 系统 、 10 32 
| 软件 等 的 操作 


访问 控制 是 保持 信息 机 密 性 的 必要 措施 ,这 一 章 从 访 
了 问 控制 策略 .用户 访 问 管理 、 网 络 访问 操作 系统 访问 、 
11 | 访问 控制 。 | 启用 系统 访问 .访问 和 使 用 监督 .移动 计算 和 远程 工作 | 7 全 


等 方面 提出 了 7 个 控制 目标 和 25 项 控制 措施 
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续 表 
章节 | 。 控制 目标 | 控制 措施 
序号 章节 名 称 内 容 说 明 数量 数量 

信息 系统 的 获 | 主要 从 应 用 系统 的 开发 建设 和 运行 维护 的 过 程 中 与 信 
12 | 取 、 开 发 和 | 息 安 全 有 关 的 方面 提出 了 详细 的 控制 目标 和 控制 措 6 16 
维护 施 , 还 提 到 了 与 密码 相关 的 控制 措施 
目前 ,还 没有 一 项 信息 安全 控制 措施 是 一 劳 永 逸 的 。 
本 信息 安全 事故 | 无 论 你 制定 和 实施 怎样 的 信息 安全 风险 处 理 计划 , 信 E 
管理 息 安全 事件 总 有 可 能 发 生 。 对 信息 安全 事件 的 正确 管 
理 是 重要 的 
业务 连续 性 管理 (BCM) 是 目前 的 热门 话题 ,并 逐渐 成 
业务 连续 性 | 为 一 门 专业 。 对 企业 来 说 ,BCM 是 一 项 重要 的 、 综 合 
管理 的 管理 ,涉及 企业 的 诸多 方面 ,信息 安全 问题 应 该 是 其 
中 的 一 个 方面 
满足 我 国 当 前 适用 的 法 律 法 规 中 关于 信息 安全 方面 的 
要 求 ,是 任何 组 织 首 先 要 做 的 ;其 次 是 满足 合同 要 求 、 
15 | 符合 性 组 织 制定 的 规章 制度 和 技术 要 求 等 。 本 章 所 提出 的 控 3 10 
制 目 标 和 控制 措施 ,就 是 为 了 控制 这 些 方面 的 信息 安 
全 风险 
合计 39 133 


623 应 用 情况 


现在 ,ISO/IEC 27002 已 经 成 为 国际 上 具有 代表 性 的 信息 安全 管理 体系 标准 。 欧 美 
发 达 国 家 (例如 英国 .荷兰 .丹麦 .澳大利亚 .巴西 ) 和 部 分 亚洲 国家 或 地 区 (如 日 本 .新 加 
坡 、 韩 国 . 中 国 香港 .中 国 台 湾 ) 的 政府 机 构 银行. 证 券 .电信 行业 等 机 构 .组 织 和 企业 都 已 
经 采用 该 标准 进行 信息 安全 管理 。 

这 些 应 用 主要 体现 在 以 下 四 方面 : 

(1) 具有 强烈 信息 系统 安全 需求 的 组 织 ( 尤 其 是 政府 部 门 、 银 行 、 电 信保 险 和 IT 企 
业 ) 纷 纷 参照 该 标准 建立 各 自 的 信息 系统 安全 管理 系统 。 

(2) 许多 国家 的 政府 部 门 (例如 ,中 央 银 行 、 银 行 同业 协会 等 金融 监管 当局 ) 利 用 该 标 
准 构建 自己 的 信息 系统 安全 监管 准则 。 

(3) 英国 标准 协会 等 标准 化 组 织 正 积 极 推 动 安全 管理 标准 的 认证 工作 。 

(4) 众多 信息 系统 安全 技术 公司 遵循 该 标准 推出 安全 产品 和 安全 服务 。 

由 于 该 标准 所 体现 的 信息 与 信息 系统 安全 理念 具有 充分 的 合理 性 并 且 具 有 和 较 强 的 操 
作 性 , 它 对 于 许多 机 构 ,组 织 和 企业 建立 信息 系统 安全 和 技术 风险 监管 体系 都 具有 广泛 而 
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且 重 要 的 指导 意义 。 


6.3 ”信息 安全 等 级 保护 


631 国外 信息 安全 等 级 保护 


信息 安全 等 级 保护 与 信息 系统 安全 保护 密切 相关 。 信 息 系统 安全 保护 是 通过 保护 信 
息 系统 本 身 的 安全 ,达到 保护 信息 系统 中 信息 安全 的 目的 。 信 息 系 统 安全 的 内 涵 是 实现 
系统 正常 运行 ,保障 信息 的 完整 性 、 可 用 性 、 机 密 性 ,不 可 否认 性 和 可 控 性 。 其 中 ,机 密 性 、 
完整 性 ,可 用 性 是 基本 安全 特性 要 求 。 信 息 系统 安全 的 外 延 表 现 为 部 门 职能 和 业务 的 正 
常 运 转 。 

当前 ,各 国都 在 从 国家 安全 发 展 战略 出 发 ,考虑 和 加 强 信息 系统 安全 保护 工作 ,把 涉 
及 国计民生 的 信息 系统 作为 重点 保护 对 象 。 但 是 ,不 同 的 国家 对 于 重点 信息 系统 的 概念 
略 有 不 同 。 例 如 ,美国 称 这 些 系统 为 "关键 信息 基础 设施 ”, 而 我 国 称 这 些 系统 为 "重要 领 
域 的 信息 系统 ”。 

在 网 络 互联 互通 的 情况 下 ,国家 信息 系统 安全 问题 的 实质 是 国家 主权 政治、 经济 、 国 
防 , 社 会 安全 。 因 此 ,各 国 在 信息 系统 安全 保护 方面 的 主要 思路 和 对 策 基本 相同 , 即 都 注 
重 加 强 关 键 信息 基础 设施 安全 保护 ,提高 整体 防护 水 平 , 强 化 政府 监管 力度 。 

以 美国 为 例 , 它 在 这 方面 的 主要 工作 包括 : 1998 年 5 月 22 日 ,颁布 了 (保护 美国 关键 
基础 设施 )》 的 总 统 令 ,相继 又 制定 了 《信息 保障 技术 框架 》, 成 立 了 相关 的 信息 安全 组 织 机 
构 , 明 确 制定 了 新 的 国家 信息 网 络 安全 战略 ` 合 理 的 信息 安全 战略 发 展 目标 和 任务 .重点 
保护 国家 关键 信息 基础 设施 的 安全 ;同时 有 计划 、 有 步骤 地 发 展 网 络 攻击 和 反攻 击 技术 ; 
完善 国家 网 络 安全 监管 体系 ;提高 网 络 安全 技术 水 平 ;建立 网 络 安全 防护 体系 。 为 此 , 主 
要 采取 以 下 措施 : 在 实行 等 级 保护 标准 的 基础 上 ,进一步 完善 等 级 保护 程序 ,严格 控制 对 
政府 信息 资源 访问 ;加 强 信息 发 布 审查 及 控制 机 制 ,清理 政府 网 站 上 的 有 害 信息 等 :开发 
网 络 预警 系统 ,加 强 网 络 自身 防护 和 生存 能 力 ; 提 高 网 络 的 攻击 能 力 ,完善 信息 安全 法 律 
体系 等 。 


632 我 国信 息 安 全 等 级 保护 


在 我 国 ,“ 信 息 安全 等 级 保护 ” 指 的 是 : 对 涉及 国计民生 的 基础 信息 网 络 和 重要 信息 
系统 按 其 重要 程度 及 实际 安全 需求 ,合理 投入 ,分 级 进行 保护 ,分 类 指导 ,分 阶段 实施 , 保 
障 信息 系统 安全 正常 运行 和 信息 安全 ,提高 信息 安全 综合 防护 能 力 , 保 障 国家 安全 ,维护 

169 


社会 秩序 和 稳定 ,保障 并 促进 信息 化 建设 健康 发 展 , 拉 动 信 息 安全 和 基础 信息 科学 技术 发 
展 与 产业 化 ,进而 牵动 经 济 发 展 , 提 高 综合 国力 。 
实行 信息 安全 等 级 保护 主要 是 为 了 确保 信息 安全 保护 符合 客观 存在 和 发 展 规律 。 信 
息 系 统 是 应 社会 发 展 、 社 会 生活 和 工作 的 需要 而 设计 和 建立 的 ,是 社会 构成 ,行政 组 织 体 
系 的 反映 ,由 于 这 种 体系 是 分 层次 和 级 别 的 ,与 其 对 应 的 各 种 信息 系统 在 社会 和 经 济 价值 
方面 也 具有 不 同 的 等 级 ,并 客观 上 体现 为 系统 基础 资源 和 信息 资源 的 价值 大 小 、 用 户 访问 
权限 的 大 小 、 大 系统 中 各 子 系统 重要 程度 的 区 别 等 表现 因素 。 信 息 安 全 保护 分 级 、 分 区 
域 . 分 类 ,分 阶段 是 做 好 国家 信息 安全 保护 必须 遵循 的 客观 规律 。 
我 国政 府 非常 重视 信息 安全 等 级 保护 工作 。 早 期 与 之 相关 的 一 系列 工作 主要 有 : 
(1) 1994 年 2 月 18 日 ,国务 院 颁布 了 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 
例 》, 以 国家 法 律 的 形式 规定 “重点 保护 国家 事务 .国家 经 济 建设 .国防 建设 .国内 尖端 科学 
技术 等 重要 领域 的 信息 系统 的 安全 。” 同 时 规定 “计算 机 信息 系统 实行 安全 等 级 保护 ,安全 
等 级 的 划分 标准 和 安全 等 级 保护 的 具体 办 法 ,由 公安 部 会 同 有 关 部 门 制定 。” 这 些 重要 领 
域 的 信息 系统 也 就 是 涉及 国计民生 的 国家 关键 信息 基础 设施 ,包括 国家 互联 网 。 其 中 国 
家 事务 信息 系统 涵盖 国家 电子 政务 信息 系统 。 这 些 法 律 制度 的 规定 具有 十 分 重要 的 战略 
(2) 1998 年 12 月 ,公安 部 与 国家 密码 管理 委员 会 .信息 产业 部 、 国 家 保密 局 等 相关 部 
门 就 当前 国家 信息 化 建设 中 的 安全 策略 和 安全 技术 、 安 全 等 级 保护 制度 基础 建设 等 问题 
进行 了 深入 研究 ,并 在 充分 征求 和 吸收 各 方 意见 的 基础 上 ,起 草 了 《计算 机 信息 系统 安全 
保护 等 级 制度 建设 纲要 》, 确 立 了 安全 保护 等 级 制度 的 主要 适用 范围 建设 目标 .建设 原 
则 ,建设 任务 .实施 步骤 及 措施 等 主要 问题 。 
(3) 1999 年 9 月 13 日 经 国家 质量 技术 监督 局 审查 通过 并 正式 发 布 了 强制 性 国标 4 计 
算 机 信息 系统 安全 保护 等 级 划分 准则 》GB 17859 一 1999 ,将 信息 系统 划分 为 五 个 安全 保 
护 等 级 : 用 户 自主 保护 级 .系统 审计 保护 级 、 安 全 标记 保护 级 、 结 构 化 保护 级 和 访问 验证 
保护 级 。 安 全 保护 能 力 从 第 一 级 到 第 五 级 逐 级 增强 。GB 17859 一 1999 的 发 布 实施 ,表明 
我 国信 息 系统 安全 保护 实行 五 级 保护 。 但 是 ,GB 17859 一 1999 的 有 效 贯彻 实施 ,还 需要 
由 相应 的 管理 办 法 及 配套 标准 体系 、 等 级 产品 及 系统 检测 评估 工具 、 测 评 机 制 等 ,构成 完 
整 的 安全 等 级 保护 体系 。 
(4) 2000 年 11 月 10 日 ,国家 计 委 下 达 了 由 公安 部 主持 开展 的 《计算 机 信息 系统 安全 
保护 等 级 评估 认证 体系 及 互联 网 络 电子 身份 认证 管理 与 安全 保护 平台 试点 ) 项 目 建设 的 
任务 (以 下 简称 “1110 工程 ”7 .“1110 工程 ”的 总 体 建设 目标 是 : 建立 我 国信 息 系统 安全 
等 级 保护 监督 管理 和 网 络 身份 认证 管理 服务 体系 ,为 加 强 对 重要 领域 信息 系统 和 互联 网 
的 安全 监督 管理 提供 必需 条 件 .“1110 工程 ”的 主要 内 容 : 以 信息 系统 的 安全 监督 管理 
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为 核心 ,初步 建立 信息 系统 安全 等 级 保护 监管 体系 。2003 年 初 ,“1110 工程 ”中 的 主要 项 
目 取 得 了 以 下 成 果 : 

@ 依据 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 和 《计算 机 信息 系统 安全 保 
护 等 级 划分 准则 ) 组 织 起 草 了 《信息 系统 安全 保护 等 级 管理 办 法 ) 草 案 , 重 点 就 信息 安全 保 
护 制度 化 .等 级 化 ,规范 化 ,法 制 化 建设 ,研究 提出 了 从 总 体 上 把 握 国家 信息 安全 保护 关键 
环节 ,建立 长 效 安全 保护 机 制 的 整体 思路 和 办 法 。 

@ 为 了 实现 我 国信 息 系统 安全 的 整体 化 、 规 范 化 保护 ,以 工程 带 标准 的 办 法 ,制定 并 
发 布 了 一 批 *1110 工程 ”项 目 成 果 应 用 推广 所 需 的 重要 标准 ,并 提出 了 比较 完整 的 安全 保 
护 标准 体系 ,分 三 批 完成 发 布 ,其 中 包括 :《 计 算 机 信息 系统 安全 保护 等 级 通用 技术 要 
求 》《 计 算 机 信息 系统 网 络 安全 保护 等 级 技术 要 求 》《 计 算 机 信息 系统 操作 系统 安全 保护 
等 级 技术 要 求 》《 计 算 机 信息 系统 数据 库 管理 系统 安全 保护 等 级 技术 要 求 》《 计 算 机 信息 
系统 安全 保护 等 级 管理 要 求 ) 等 。 

@ 安全 保护 等 级 评估 工具 (包括 2 套 系统 评估 工具 和 9 套 产 品评 估 工 具 )。 

@ 基本 完成 上 海安 全 产品 等 级 检测 中 心 建设 ,北京 信息 系统 安全 保护 等 级 评估 中 心 
正在 加 紧 筹 建 。 

@“ 郑 州 粮 食 交 易 市 场 网 络 电子 身份 认证 示范 工程 电子 商务 环境 下 的 身份 认证 ) 
和 "南海 市 网 络 电子 身份 认证 示范 工程 ”电子 政务 环境 下 的 身份 认证 ) 。 

@ 在 国家 计 委 项 目 一 一 网 络 身份 认证 管理 示范 工程 的 基础 上 ,逐步 开展 了 以 公安 户 
政信 息 和 特征 识别 码 为 支持 平台 的 网 络 身份 管理 工作 。 

这 些 成 果 为 全 面 开展 信息 系统 安全 等 级 保护 制度 建设 商定 了 比较 坚实 的 基础 ,为 随 
后 的 等 级 保护 试点 工作 和 全 国 范围 的 等 级 保护 推广 工作 提供 了 经 验 。 

近 几 年 ,公安 部 联合 其 他 一 些 国家 机 构 以 (信息 安全 等 级 保护 管理 办 法 ) 为 核心 进行 
了 一 系列 研究 ,尝试 .试点 工作 。 正 式 的 (信息 安全 等 级 保护 管理 办 法 ) 已 于 2007 年 6 月 
22 日 ,由 公安 部 .国家 保密 局 .国家 密码 管理 局 ,国务院 信息 化 工作 办 公 室 等 国家 四 部 委 
制定 完成 并 审批 通过 ,并 自发 布 之 日 起 施行 。2006 年 3 月 1 日 起 施行 的 (信息 安全 等 级 
保护 管理 办 法 (试行 )》( 公 通 字 [L2006]7 号 ) 同 时 废止 。 


633 国家 信息 安全 等 级 保护 制度 


经 党 中 央 和 国务 院 批准 ,国家 信息 化 领导 小 组 已 经 决定 加 强 信息 安全 保障 工作 ,实行 
信息 安全 等 级 保护 ,重点 保护 基础 信息 网 络 和 重要 信息 系统 安全 ,抓紧 安全 等 级 保护 制度 
建设 。 该 决定 明确 落实 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 关于 实行 信 
息 安全 等 级 保护 制度 的 有 关 规 定 ,提出 了 从 整体 上 根本 上 解决 国家 信息 安全 问题 的 办 法 ， 
进一步 确定 了 我 国信 息 安全 的 发 展 主线 ,中心 任务 ,提出 了 总 要 求 。 对 信息 系统 实行 等 级 
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保护 是 国家 法 定制 度 和 基本 国策 ,是 开展 信息 安全 保护 工作 的 有 效 办 法 ,同时 也 是 信息 安 
全 保护 工作 的 发 展 方向 。 实 行 信息 安全 等 级 保护 的 决定 具有 重大 的 现实 意义 和 战略 
意义 。 

实行 信息 安全 等 级 保护 制度 的 目的 是 统一 信息 安全 保护 工作 ,推进 规范 化 法 制 化 建 
设 ,保障 安全 ,促进 发 展 。 

实施 等 级 保护 的 必要 性 在 于 等 级 保护 是 信息 系统 的 社会 价值 和 经 济 价值 保护 的 客观 
要 求 , 即 按 信息 的 敏感 和 重要 程度 ,系统 应 用 性 质 和 资产 价值 .部门 重要 程度 ,分 级 采取 科 
学 ,合理 的 保护 措施 ;对 于 涉及 国计民生 的 国家 关键 信息 基础 设施 应 分 级 加 以 重点 保护 ; 
适度 保护 , 效 费 合理 ,避免 盲目 和 浪费 ;对 信息 系统 实行 等 级 保护 是 国家 法 定制 度 。 

国家 实行 信息 安全 等 级 保护 制度 ,有 利于 建立 长 效 机 制 , 保 证 安全 保护 工作 稳固 、 持 
久 地 进行 下 去 ;有 利于 在 信息 化 建设 过 程 中 同步 建设 信息 安全 设施 ,保障 信息 安全 与 信息 
化 建设 相 协调 ;有 利于 突出 重点 ,加强 对 涉及 国家 安全 、 经 济 命脉 ,社会 稳定 的 基础 信息 网 
络 和 重要 信息 系统 的 安全 保护 和 管理 监督 ;有 利于 明确 国家 、 企 业 . 个 人 的 安全 责任 ,强化 
政府 监管 职能 ,共同 落实 各 项 安全 建设 和 安全 管理 措施 ;有 利于 提高 安全 保护 的 科学 性 、 
针对 性 ,推动 网 络 安全 服务 机 制 的 建立 和 完善 ;有 利于 采取 系统 、 规 范 ` 经 济 有 效 、 科 学 的 
管理 和 技术 保障 措施 ,提高 整体 安全 保护 水 平 , 保 障 信息 系统 安全 正常 运行 ,保障 信息 安 
全 ,进而 保障 各 行业 .部 门 和 单位 的 职能 与 业务 安全 ,高速 ,高效 地 运转 ;有 利于 信息 安全 
保护 科学 技术 和 产业 化 发 展 。 

信息 安全 等 级 保护 要 贯彻 突出 重点 .兼顾 一 般 的 原则 。 等 级 保护 制度 要 求 落实 各 级 
安全 责任 。 国 家 重点 保护 下 列 基础 信息 网 络 和 重要 信息 系统 : 

(1) 国家 事务 处 理 信息 系统 (党 政 机 关 办 公 系统 ) 。 

(2) 金融 税务 ,工商 海关、 能源、 交通 运输 ,社会 保障 、 教 育 等 基础 设施 的 信息 系统 。 

(3) 国防 工业 、 国 家 科研 等 单位 的 信息 系统 。 

(4) 公用 通信 ,广播 电视 传输 等 基础 信息 网 络 中 的 计算 机 信息 系统 。 

(5) 互联 网 网 络 管理 中 心 关键 结 点 、 重 要 网 站 以 及 重要 应 用 系统 。 

(6) 其 他 领域 的 重要 信息 系统 。 

国家 实行 信息 系统 安全 等 级 保护 的 形式 是 : 国家 意志 政府 行为 .科研 单位 企业 、 社 
会 广泛 参与 。 

其 中 ,“ 国 家 意志 ” 指 的 是 国家 必须 有 统一 的 信息 系统 安全 保护 的 法 律 规范 、 技 术 
规范 。 

“政府 行为 ” 指 的 是 : 在 国家 信息 化 领导 小 组 的 统一 领导 ,在 国务 院 信息 化 工作 办 公 
室 的 统一 组 织 .协调 下 ,各 级 政府 及 其 内 部 各 部 门 应 当 对 其 信息 系统 安全 建设 与 管理 负 
责 ,开展 信息 系统 安全 等 级 保护 工作 。 首 先 ,各 级 政府 在 信息 化 建设 过 程 中 ,应 该 按照 等 
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级 保护 政策 法 规 规定 ,管理 与 技术 规范 ,组 织 进行 信息 系统 安全 等 级 保护 建设 .管理 。 其 
次 ,信息 安全 保护 职能 部 门 要 严格 依法 行政 ,履行 职责 ,做 好 安全 等 级 保护 工作 。 法 律 法 
规 和 标准 确定 之 后 ,政府 信息 安全 保护 职能 部 门 的 监督 管理 是 推进 和 保障 信息 安全 保护 
的 关键 。 如 果 没 有 有 效 贯 彻 推 进 措施 ,再 好 的 法 律 和 标准 也 发 挥 不 了 其 应 有 的 效力 。 第 
三 ,信息 系统 安全 涉及 社会 的 方方面面 ,有 关 科 研 机 构 和 企业 应 积极 开发 市 场所 需 等 级 保 
护 安全 技术 和 产品 。 全 社会 要 提高 信息 安全 保护 意识 ,职业 道德 ,自觉 遵守 有 关 法 律 \ 法 
规 ,创造 和 维护 良好 的 信息 安全 保护 社会 环境 。 

等 级 保护 的 工作 程序 是 : 

(1) 使 用 单位 应 该 按照 其 处 理 信息 的 敏感 程度 .业务 应 用 性 质 和 部 门 重要 程度 是 不 
同 的 ,根据 标准 和 有 关 规 定 确定 其 信息 系统 的 安全 保护 等 级 ,选择 符合 该 安全 保护 等 级 要 
求 的 安全 专用 产品 ,安全 建设 和 管理 信息 系统 。 

(2) 生产 信息 系统 安全 专用 产品 的 企业 在 研制 .生产 等 方面 应 当 符 合 国家 有 关 安全 
保护 等 级 标准 ,并 由 通过 行政 机 关 认 可 的 机 构 对 其 产品 进行 评测 。 

(3) 行政 机 关 依 据 信息 系统 安全 保护 等 级 的 管理 办 法 和 标准 ,对 信息 系统 安全 保护 
等 级 工作 进行 监督 管理 。 

目前 ,各 地 区 已 经 开始 依据 (信息 安全 等 级 保护 管理 办 法 》( 公 通 字 [2007]43 号 ) 和 
《信息 安全 技术 信息 系统 安全 等 级 保护 定 级 指南 》, 开 始 了 系统 安全 保护 等 级 划分 和 网 络 
和 信息 系统 定 级 备案 工作 ,后 续 的 信息 系统 建设 ,整改 ,测评 等 工作 也 将 按 步骤 进行 。 


634 国家 信息 安全 等 级 保护 的 有 关 标 准 


标准 化 建设 在 信息 安全 等 级 建设 中 占据 着 重要 作用 。 实 施 信息 安全 等 级 保护 制度 必 
须 遵 循 一 定 的 标准 。 目 前 ,国家 已 经 建立 了 一 套 相对 完善 的 信息 安全 等 级 保护 标准 , 包 
括 : 基础 性 标准 ,构建 过 程控 制 标准 ,评测 过 程控 制 标准 和 运行 过 程控 制 标准 。 

其 中 ,基础 性 标准 包括 : 

(1) GB 17859 一 1999 计算 机 信息 系统 安全 保护 等 级 划分 准则 ,这 是 其 他 标准 的 基础 。 

(2) 信息 系统 安全 等 级 保护 实施 指南 ,为 等 级 保护 的 实施 提供 指导 。 

构建 过 程控 制 标准 包括 

(1) 技术 要 求 标准 。 

(2) 产品 要 求 标准 。 

测评 过 程控 制 标准 包括 : 

(1) 系统 测试 与 评估 标准 。 

(2) 产品 测试 域 评估 标准 。 

运行 过 程控 制 标准 包括 : 
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(1) 工程 管理 标准 ,为 管理 工程 实施 提供 指导 。 

(2) 系统 管理 标准 ,对 系统 运行 过 程 的 管理 提供 指导 。 

(3) 监督 检查 管理 标准 ,为 按 等 级 保护 要 求 对 信息 系统 的 构建 测评 ,运行 过 程 进行 
监督 检查、 管理 提供 指导 。 

上 述 标准 构成 了 一 个 标准 体系 。 

该 体系 的 基本 思想 是 : 以 信息 安全 的 五 个 属性 为 基本 内 容 , 从 实现 信息 安全 的 五 个 
层面 ,按照 信息 安全 五 个 等 级 的 不 同 要 求 ,分别 对 安全 信息 系统 的 构建 过 程 、 测 评 过 程 和 
运行 过 程 进 行 控制 和 管理 ,实现 对 不 同 信 息 类 别 按 不 同 要 求 进行 分 等 级 安全 保护 的 总 体 
目标 。 

该 体系 的 特点 是 : 

(1) 完备 性 : 对 信息 安全 的 五 个 属性 ,从 五 个 层面 、 按 五 个 等 级 确定 安全 功能 要 求 和 
安全 保证 要 求 : 对 安全 系统 的 构建 、 测 评 ,运行 三 个 过 程 进行 全 面 控制 。 

(2) 整体 保护 性 : 实现 信息 的 机 密 性 、 完 整 性 和 可 用 性 (包括 抗 否认 性 、 可 控 性 和 可 
操作 性 等 ) ,以 及 系统 安全 运行 控制 。 

(3) 技术 先进 性 : 标准 体系 是 在 充分 了 解 国际 上 当前 信息 安全 技术 及 其 标准 发 展 的 
基础 上 ,汲取 先进 的 安全 技术 确定 ,并 与 国际 接轨 。 

(4) 实用 性 : 充分 考虑 到 我 国信 息 技术 的 发 展 和 信息 安全 的 现状 ,从 制定 可 行 的 信 
息 系统 安全 方案 出 发 ,适用 于 我 国信 息 安全 等 级 管理 的 需要 。 

(5) 前 瞻 性 和 可 扩展 性 ; 标准 体系 所 确定 的 技术 和 管理 ,具有 一 定 的 前 瞻 性 ,并 可 根 
据 信 息 安 全 技术 的 发 展 改进 和 扩展 。 

(6) 具有 充分 的 法 律 依据 和 执法 保证 : 147 号 令 、27 号 文件 明确 规定 我 国信 息 安全 
实施 等 级 保护 : 执行 过 程控 制 标准 适用 于 安全 等 级 管理 对 安全 系统 及 安全 产品 从 设计 、 
实现 .检测 .评估 到 监督 .检查 的 管理 需要 : 有 相应 的 执法 人 员 ( 如 电子 警察 ) 确 保 等 级 保 
护 的 贯彻 执行 。 


信息 安全 管理 体系 


641 背景 
信息 安全 管理 体系 的 思想 源 于 ISO 9000《 质 量 管理 体系 》 和 英国 标准 学 会 (BSI) 的 
BS 7799-2。 
国际 标准 化 组 织 1987 年 发 布 了 世界 上 第 一 个 质量 管理 和 质量 保证 系列 国际 标 
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准 一 一 ISO 9000 系列 标准 。20 年 来 ,该 标准 推动 世界 各 国 工 业 企业 的 质量 管理 和 供需 双 
方 的 质量 保证 ,促进 国际 贸易 交往 起 到 了 很 好 的 作用 。ISO/TC176 分 别 在 1994 年 和 
2000 年 对 ISO 9000 质量 管理 标准 进行 了 两 次 全 面 的 修订 。 由 于 该 标准 吸收 了 国际 上 先 
进 的 质量 管理 理念 ,采用 了 PDCA 循环 的 质量 哲学 思想 (规划 一 一 Plan, 实 施 一 一 Do, 检 
查 一 一 Check, 处 置 一 一 Act) ,给 出 了 一 个 科学 的 、 逻 辑 性 强 的 体系 ,采用 与 具体 产品 的 技 
术 无 关 的 过 程 管理 的 思想 ,对 于 产品 和 服务 的 供需 双方 都 具有 很 强 的 实践 性 和 指导 性 。 
PDCA 模型 如 图 6-4-1 所 示 。 


规划 


a 建立 维护 
实施 | 实施 与 运行 1SMS | 建立 ;维和 | 保持 与 改进 TSMS | 处 

信息 安全 受 拉 的 

监控 与 评审 JSMS 


检查 
图 6-4-1 PDCA 模型 


在 ISMS 的 规划 设计 阶段 ,就 要 求 从 定义 ISMS 的 执行 范围 和 政策 出 发 ,执行 风险 评 
估 , 对 风险 评估 处 理 做 出 决定 最 后 落实 到 安全 控制 措施 的 选择 上 。 

在 ISMS 的 建立 阶段 ,需要 做 以 下 事情 : 

(1) 根据 组 织 及 其 业务 特点 ,位 置 、 资 产 、 信 息 体系 边界 ,确定 ISMS 的 范围 ,包括 任 
何 范围 删 减 的 细节 和 理由 。 

(2) 根据 组 织 及 其 业务 特点 、 位 置 , 资 产 和 技术 ,确定 ISMS 方针 ,应 该 做 到 以 下 
Ls 

。 为 其 目标 建立 一 个 框架 并 为 信息 安全 活动 建立 整体 的 方向 和 原则 ; 

。 考虑 业务 及 法 律 或 法 规 的 要 求 ,及 合同 的 安全 义务 ; 

。 建立 组 织 战略 和 风险 管理 的 环境 ,在 这 种 环境 下 ,建立 和 维护 ISMS; 

。 建立 风险 评价 的 准则 ; 

。 获得 管理 者 批准 。 
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(3) 定义 风险 评估 方法 。 
。 识别 适用 于 ISMS 的 风险 评估 方法 学 和 信息 安全 要 求 。 选 择 的 风险 评估 方法 学 
应 确保 风险 评估 有 一 个 定义 清晰 的 范围 ,并 能 产生 可 比较 的 和 可 再 现 的 结果 ; 
。 建立 可 接受 风险 的 准则 ; 
。 风险 评估 具有 不 同 的 方法 学 。 在 ISO/IEC TR 13335-3(IT 安全 管理 指南 : IT 安 
全 管理 技术 ) 中 描述 了 风险 评估 方法 学 的 例子 。 
(4) 识别 风险 。 
。 识别 ISMS 范围 内 的 资产 及 其 责任 人 ; 
。 识别 资产 所 面临 的 威胁 ; 
。 识别 可 能 被 威胁 利用 的 脆弱 性 ; 
。 识 别 机 密 性 、 完 整 性 和 可 用 性 遭 到 破坏 所 造成 的 影响 。 
(5) 分 析 评 价 风险 。 
。 评估 安全 失误 可 能 造成 的 对 组 织 的 影响 ,考虑 资产 的 机 密 性 、 完 整 性 和 可 用 性 遭 
到 破坏 所 造成 的 后 果 ; 
。 评估 由 主要 威胁 ,脆弱 性 导致 安全 失误 的 现实 可 能 性 ,及 其 对 资产 的 影响 和 当前 
所 实施 的 控制 措施 ; 
。 评估 风险 的 级 别 ; 
。 确定 风险 是 否 可 接受 ,或 者 是 否 需 要 使 用 所 建立 的 风险 接受 准则 进行 处 理 。 
(6) 识别 和 评价 风险 处 理 的 可 选 措施 可 能 的 行动 包括 : 
。 采用 适当 的 控制 措施 ， 
。 在 满足 组 织 的 方针 和 风险 接受 准则 的 条 件 下 ,明确 .客观 地 接受 风险 ; 
. 避免 风险 ; 
。 转移 相关 业务 风险 到 其 他 方 ,如 : 保险 、 供 应 商 等 。 
(7) 选择 控制 目标 和 处 理 风险 的 控制 措施 。 
应 选择 控制 目标 和 控制 措施 满足 风险 评估 和 风险 处 理 过 程 所 识别 的 需求 。 选 择 应 考 
虑 可 接受 风险 的 准则 ` 法 律 法 规 和 合同 要 求 。 
在 ISMS 的 实施 和 运行 阶段 ,应 该 做 到 : 
(1) 识别 合适 的 管理 行动 和 确定 管理 信息 安全 风险 的 职责 与 优先 顺序 , 即 制定 风险 
处 理 计划 。 
(2) 实施 风险 处 理 计划 以 达到 已 识别 的 控制 目标 ,包括 资金 安排 .角色 和 职责 的 
分 配 。 
(3) 实施 所 选择 的 控制 措施 ,以 满足 控制 目标 的 要 求 。 
(4) 确定 如 何 测量 所 选择 的 控制 措施 或 控制 措施 集 的 有 效 性 ,并 指明 如 何 使 用 以 评 
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人 控制 有 效 性 ,并 产生 可 比较 的 和 可 再 现 的 结果 。 

(5) 实施 培训 和 提高 意识 的 计划 。 

(6) 管理 运行 过 程 。 

(7) 管理 资源 。 

(8) 实施 能 够 迅速 检测 和 响应 安全 事件 的 程序 和 其 他 控制 措施 。 

在 ISMS 的 检查 阶段 ,应 该 做 到 

(1) 执行 监视 程序 和 其 他 控制 措施 ,目的 是 : 

。 及 时 检测 处 理 结果 中 的 错误 ; 

。 及 时 识别 失败 的 和 成 功 的 安全 违规 和 事件 ; 

。 使 管理 层 确定 ,分 配给 人 员 的 安全 活动 或 通过 信息 技术 实施 的 安全 活动 是 否 被 如 

期 执行 ; 

。 使 用 有 效 性 测量 帮助 检测 安全 违规 ， 

。 确定 反映 业务 的 优先 顺序 的 安全 违规 的 解决 措施 。 

(2) 在 考虑 安全 审核 结果 .安全 事故 .所 有 相关 方 的 建议 和 反馈 的 基础 上 ,进行 ISMS 
有 效 性 的 定期 评审 ,包括 安全 方针 和 安全 目标 的 符合 性 的 评审 和 安全 控制 措施 的 评审 。 

(3) 测量 控制 的 有 效 性 以 验证 是 否 满足 安全 要 求 。 

(4) 评审 残余 风险 和 可 接受 风险 的 级 别 , 需 要 考虑 以 下 方面 的 变化 情况 : 

。 组织 ; 

技术 ; 

。 业务 目标 和 过 程 ; 

。 已 经 识别 的 威胁 ; 

。 已 经 实施 的 控制 措施 的 有 效 性 ; 

。 外 部 事件 ,如 法 律 或 法 规 环境 的 变更 、 合 同 责任 的 变更 和 社会 环境 的 变更 。 

(5) 按 计划 规定 的 时 间 间 隔 , 对 ISMS 进行 内 部 审核 ( 注 : 内 部 审核 ,又 称 第 一 方 审 
核 , 由 组 织 自 身 或 代表 组 织 的 一 方 为 内 部 目的 而 自行 实施 ) 。 

(6) 定期 (至 少 每 年 1 次 ) 对 ISMS 进行 管理 评审 ,以 确保 ISMS 范围 保持 适宜 ,ISMS 
过 程 的 改进 已 经 识别 。 

(7) 记录 可 能 对 ISMS 的 效率 和 效果 有 影响 的 行动 和 事件 。 

此 外 ,为 了 保持 和 改进 ISMS, 还 应 该 做 到 以 下 几 点 : 

(1) 实施 已 识别 的 ISMS 改进 措施 。 

(2) 采取 合适 的 纠正 和 预防 措施 ,并 从 其 他 组 织 的 安全 经 验 和 本 组 织 的 经 验 中 吸取 
教训 。 

(3) 与 所 有 相关 方 以 适当 详细 的 级 别 沟通 结果 和 行动 ,合乎 环境 要 求 , 需 要 时 ,商定 
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如 何 进行 。 
(4) 确保 改进 达到 了 预期 目标 。 


642 ISO27000 系 列 


信息 安全 管理 体系 (Information Security Management System,ISMS) 是 ISO 发 展 的 
一 个 信息 安全 管理 标准 族 。 

2005 年 10 月 ,BS 7799-2 正式 成 为 ISO 27001。 这 是 建立 信息 安全 管理 体系 (ISMS) 
的 一 套 规范 (Specification for Information Security Management Systems), 其 中 详细 说 
明了 建立 ,实施 和 维护 信息 安全 管理 体系 的 要 求 ,可 用 来 指导 相关 人 员 去 应 用 ISO/IEC 
17799, 其 最 终 目 的 ,在 于 建立 适合 企业 需要 的 信息 安全 管理 体系 。 

ISO 27001 为 两 个 部 分 : ISO 27001-1, 信 息 安全 管理 实施 细则 ;ISO 27001-2, 信 息 安 
全 管理 体系 规范 。 第 一 部 分 主要 是 给 负责 开发 的 人 员 作 为 参考 文档 使 用 ,从 而 在 他 们 的 
机 构 内 部 实施 和 维护 信息 安全 ;第 二 部 分 详细 说 明了 建立 实施 和 维护 信息 安全 管理 系统 
的 要 求 ,指出 实施 组 织 需 遵循 某 一 风险 评估 来 鉴定 最 适宜 的 控制 对 象 ,并 对 自己 的 需求 采 
取 适 当 的 控制 。 

ISO 已 为 信息 安全 管理 体系 标准 预 留 了 ISO/IEC 27000 系列 编号 ,类 似 于 质量 管理 
体系 的 ISO 9000 系列 和 环境 管理 体系 的 ISO 14000 系列 标准 。 

规划 的 ISO 27000 系列 包含 下 列 标准 : 

(1) ISO 27000—" Information security management system fundamentals and 
vocabulary”(《 信 息 安全 管理 体系 原理 和 术语 )) 

该 标准 主要 用 于 阐述 ISMS 的 基本 原理 和 术语 。 

(2) ISO 27001 一 一 “Information security management system requirements”(《 信 息 
安全 管理 体系 要 求 》) 

该 标准 源 于 BS 7799-2, 主 要 提出 ISMS 的 基本 要 求 ,已 于 2005 年 10 月 正式 发 布 。 

(3) ISO 27002——“Code of practice for information security management”(《 信 息 
安全 管理 实践 规则 》) 

该 标准 将 取代 ISO/IEC 17799:2005,2007 年 4 月 实施 。 

(4) ISO 27003—" Information security management systems implementation 
guidance”(《 信 息 安全 管理 体系 实施 指南 》) 

该 标准 将 为 ISMS 的 建立 实施 、 维 持 ,改进 提供 指导 ,目前 还 在 开发 中 。 

(5) ISO 27004— "In{formation security management measurements and metrics” 
(信息 安全 管理 测量 与 指标 》 

该 标准 阐述 信息 安全 管理 的 测量 和 指标 ,用 于 测量 信息 安全 管理 的 实施 效果 ,目前 还 
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在 开发 中 。 

(6) ISO 27005 一 一 “Information security risk management”(《 信 息 安全 风险 管理 )) 

该 标准 以 BS 7799-3 和 ISO 13335 为 基础 ,2008 年 6 月 已 发 布 。 

(7) ISO 27006 一 -一 Information technology-Security techniques-Requirements for 
bodies providing audit and certification of information security management Systems” 
(信息 安全 管理 体系 审核 认证 机 构 要 求 》 

该 标准 对 提供 ISMS 认证 的 机 构 提 出 要 求 , 所 有 提供 ISMS 认证 服务 的 机 构 需 要 按 
照 该 标准 的 要 求证 明 其 能 力 和 可 靠 性 ,2007 年 2 月 已 发 布 。 

(8) ISO 27007 
理 体 系 审核 指南 》) 

给 出 了 信息 安全 管理 体系 审核 指南 ,已 经 发 布 了 标准 草案 。 


643 1SO 27001 在 我 国 的 试点 


为 了 了 解 国际 上 通用 的 信息 安全 管理 标准 ISO/IEC 27001:2005《 信 息 安全 管理 体系 
要 求 ) 和 ISO/IEC 17799:2005《 信 息 安 全 管理 实用 规则 ) 是 否 适合 我 国 的 具体 情况 在 不 
同 的 行业 是 否 具有 适用 性 和 合理 性 ,我国 从 2006 年 3 月 开始 启动 了 “信息 安全 管理 标准 
应 用 (ISMS) 试 点 ?工作 。 该 项 工作 用 半年 时 间 对 税务 .证券 等 重要 信息 系统 部 门 (行业 ) 
以 及 北京 市 .上 海 市 .武汉 钢铁 集团 等 5 个 单位 共 7 个 系统 进行 了 深入 调查 ,各 试点 单位 
的 实施 效果 如 下 。 


1 深圳 证 券 交 易 所 

深圳 证 券 交 易 所 结合 已 经 实施 或 正在 实施 的 ITMS、BCP、CMMI 等 工作 ,历时 6 个 
月 ,ISMS 自 2006 年 11 月 开始 试 运行 。 

(1) 建立 了 符合 ISO/IEC 27001:2005 要 求 的 .文件 化 的 ISMS ,编制 完成 了 四 级 体系 
文件 (包括 记录 表单 等 ) 共 计 149 份 。 

(2) 试点 工作 促进 深交 所 建立 了 3 年 信息 安全 规划 ,推动 了 深交 所 “两 网 隔离 工程 ” 
的 实施 ,初步 建立 了 实施 ISMS 软件 的 原型 。 

(3) 探索 出 一 个 在 证 券 行业 有 效 实施 ISMS 的 方法 一 一 BHTP, 即 B 为 业务 与 策略 、 
HH 为 人 员 与 管理 .T 为 技术 与 产品 \P 为 流程 与 体系 ; 并 从 ISMS 实施 方式 ,实施 范围 . 实 
施 预 算 等 各 个 方面 对 证 券 行业 实施 ISMS 提出 了 具体 建议 。 

(4) 验证 了 ISMS 标准 在 证 券 行业 的 适用 性 ,并 分 析 了 ISMS 的 标准 的 优势 和 缺陷 。 


2 北京 公积金 管理 中 心 
北京 公积金 管理 中 心 与 技术 支撑 单位 一 起 ,结合 北京 公积金 的 实际 情况 ,将 试点 工作 
目标 细 化 为 5 项 ,历时 8 个 月 ,ISMS 自 2006 年 11 月 开始 运行 ,完成 了 试点 工作 。 


“Guidelines for information security management”(《 信 息 安 全 管 
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(1) 通过 试点 工作 ,更 准确 .全 面 地 把 握 了 安全 现状 ,在 北京 公积金 建立 了 切合 自身 
的 .文件 化 的 ISMS ,形成 了 包括 信息 安全 管理 手册 程序 文件 以 及 记录 文件 在 内 的 三 级 
体系 文件 共计 112 份 。 

(2) 探索 和 研究 了 适合 ISMS 建设 的 风险 评估 方法 ,结合 电子 政务 的 等 级 保护 工作 ， 
探索 了 等 级 化 信息 安全 管理 体系 建立 的 流程 和 步骤 。 

(3) 通过 试点 ,建立 了 信息 安全 管理 的 组 织 机 构 并 明确 了 责任 ,任命 了 信息 安全 管理 
委员 会 主任 ,管理 者 代表 和 内 审 员 。 


3 北京 市 海淀 信息 办 

北京 海淀 结合 已 经 实施 的 ISO 9000、 等 级 保护 、 风 险 评估 等 工作 ,将 试点 工作 目标 细 
化 为 5 项 ,历时 8 个 月 ,ISMS 自 2006 年 11 月 开始 试 运行 ,完成 了 试点 工作 。 

(1) 建立 了 符合 ISO/IEC 27001:2005 要 求 的 ,文件 化 的 ISMS, 编 制 完 成 了 三 级 体系 
文件 (包括 记录 表单 等 ) 共 计 79 份 。 

(2) 探索 和 研究 了 ISMS 与 风险 评估 和 等 级 保护 的 关系 。 参 考 ( 电 子 政务 信息 安全 
等 级 保护 实施 指南 》, 先 按照 等 级 保护 制度 对 其 进行 定 级 ,然后 将 对 应 的 等 级 要 求 体 现 到 
方针 中 ;参考 (信息 安全 风险 评估 指南 ) 确 定 了 ISMS 要 求 的 风险 评估 方法 。 

(3) 探索 和 研究 了 ISMS 与 QMS( 质 量 管理 体系 ) 整 合 的 方法 ,充分 考虑 了 已 经 实施 
并 通过 了 认证 的 QMS ,在 组 织 机 构 .内 部 审核 ,管理 评审 .文件 控制 .预防 和 纠正 措施 控制 
等 方面 ,使 两 个 管理 体系 实现 了 有 机 的 整合 。 


4 上 海 市 医疗 保险 信息 中 心 

上 海 市 医疗 保险 信息 中 心 与 其 技术 支撑 单位 上 海 市 信息 安全 测评 认证 中 心 一 起 ,于 
2006 年 12 月 完成 了 试点 工作 方案 确定 的 目标 。 

(1) 通过 试点 工作 ,依据 ISO/IEC 27001: 2005 建立 了 相对 完整 的 信息 安全 管理 
体系 。 

(2) 对 ISMS 标准 实施 与 单位 具体 情况 相 结合 方面 做 出 了 积极 的 实践 并 积累 了 经 
验 , 包 括 ISMS 与 医保 信息 系统 状况 融合 和 ISMS 与 已 经 实施 的 QMS( 质 量 管理 体系 ) 的 
融合 。 

(3) 检验 了 ISMS 标准 的 适用 性 。 试 点 工作 证 明 ISO/IEC 27001:2005 是 适用 的 ,并 
对 ISO/IEC 17799:2005 一 些 具体 控制 措施 也 做 出 了 适用 性 分 析 。 


5 上 海 市 宝山 区 信息 委 
上 海 市 宝山 区 信息 委 与 其 技术 支撑 单位 上 海 市 信息 安全 测评 中 心经 过 7 个 多 月 的 共 
同 努 力 , 完 成 了 试点 工作 方案 确定 的 目标 。 
(1) 建立 了 体系 化 的 管理 规范 。 从 宝山 区 电子 政务 平台 、 接 人 单位 和 信息 委 三 个 不 
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同 层 面 , 分 别 建立 了 (上 海宝 山 电子 政务 平台 信息 安全 管理 规范 ) 文 件 7 份 《 宝 山 电 子 政 
务 平台 接 人 单位 信息 安全 管理 规范 ) 文 件 10 份 和 (上 海宝 山 信息 委 信息 安全 管理 规范 ) 文 
件 18 份 。 

(2) 改善 了 宝山 区 系统 安全 状况 。 区 信息 委 对 在 试点 过 程 中 发 现 的 安全 风险 ,已 立 
项 并 投入 大 量 资金 ,实施 “改进 ”措施 ,从 而 大 大 提升 了 宝山 电子 政务 系统 的 安全 性 。 

(3) 对 ISMS 与 风险 评估 和 等 级 保护 工作 的 关系 进行 了 研究 和 探索 ,对 政府 部 门 建 
立 ISMS 提出 了 建议 。 


6 福建 地 方 税务 局 

福建 地 方 税务 局 与 技术 支撑 单位 中 国信 息 安全 测评 认证 中 心 一 起 ,周密 计划 ,认真 组 
织 , 完 成 了 试点 工作 。 

(1) 通过 试点 ,对 福建 地 税 与 惠普 公司 合作 根据 BS 7799(ISO/IEC 17799:2000) 完 
成 的 19 份 安全 策略 及 其 实施 文档 ,对 照 ISO/IEC 27001:2005, 进 行 了 全 面 整 理 , 并 新 编 
制 体系 文件 11 份 ,建立 了 ISMS。 

(2) 加 强 了 ISMS 的 推广 与 实施 ,计划 以 正式 文件 的 形式 下 发 ISMS 体系 文档 ,并 根 
据 税 务 系统 的 实际 岗位 需要 制定 了 《办 税 服务 厅 工 作 人 员 安 全 手册 ) 等 四 类 工作 人 员 的 安 
全 手册 。 

(3) 根据 ISMS 体系 文件 中 机 房 安 全 管理 守则 、 外 部 访问 安全 策略 、 内 部 访问 安全 策 
略 等 文件 的 规定 ,规范 了 ISMS 的 运行 记录 。 

(4) 对 ISMS 标准 的 适用 性 进行 了 分 析 , 福 建 地 税 认为 ISO/IEC 2700:2005 是 一 个 
基于 企业 信息 安全 管理 的 通用 标准 ,并 不 完全 适合 我 们 国内 的 实际 情况 ,特别 是 税务 系统 
这 样 的 政府 机 关 部 门 ,引进 时 要 进行 本 地 化 工作 。 另 外 ,也 对 ISMS 与 风险 评估 、 等 级 保 
护 的 关系 进行 了 研究 和 探索 。 


7 武汉 钢铁 (集团 ) 公 司 

武汉 钢铁 (集团 ) 公 司 与 技术 支撑 单位 上 海 三 零 卫 士 信 息 安 全 有 限 公 司 一 起 ,对 试点 
工作 进行 周密 计划 ,精心 组 织 , 将 武钢 的 试点 工作 目标 细 化 分 解 为 九 项 ,历时 8 个 月 完成 
了 试点 工作 。 

(1) 编制 了 31 份 信息 安全 管理 体系 文件 ,按照 ISO/IEC 27001:2005 建立 了 武钢 信 
息 安 全 管理 体系 ,为 下 一 步 通 过 ISMS 认证 奠定 了 基础 。 

(2) 实施 了 风险 评估 和 风险 处 理 。 通 过 试点 工作 ,对 武钢 包括 应 用 系统 .主干 网 、 接 
入 单位 在 内 的 关键 信息 资产 进行 了 量化 风险 评估 ,分 析 了 存在 的 安全 风险 ,并 编制 和 实施 
了 风险 处 理 计 划 付 诸 实施 。 

(3) 对 信息 安全 管理 标准 应 用 进行 了 探索 。 通 过 试点 ,武钢 认为 ISO/IEC 27001: 
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2005 和 ISO/IEC 17799:2005 这 两 个 ISMS 标准 总 体 上 是 适用 的 ,但 一 些 条 款 应 考虑 与 
我 国 实际 情况 相 结合 

(4) 对 同类 系统 建立 和 实施 ISMS 提供 了 建议 ,包括 明确 ISMS 的 实施 范围 ,以 信息 
系统 可 用 性 保障 作为 实施 重点 ,注重 质量 管理 体系 与 ISMS 体系 的 融合 等 。 


6.5 信息 安全 法 律 法 规 


651 国际 信息 安全 法 律 法 规 现状 


在 信息 安全 问题 和 犯罪 现象 日 益 增多 的 背景 下 ,信息 安全 立法 与 执法 在 世界 范围 内 
受到 了 更 多 的 重视 。 

目前 ,有 关 信 息 安全 的 国际 性 法 律 , 决 议和 公约 主要 有 : 1992 年 联合 国 各 成 员 国 签 
署 的 (国际 电信 联盟 组 织 法 》; 1998 年 联合 国 大 会 通过 的 “关于 信息 和 传输 领域 成 果 只 用 
于 国际 安全 环境 ”的 决议 ;欧洲 委员 会 于 2000 年 制定 的 (打击 计算 机 犯罪 公约 》。 其 中 ， 
《打击 计算 机 犯罪 公约 ) 是 世界 上 第 一 个 以 打击 黑客 为 目标 的 国际 性 公约 ,包括 美国 等 40 
多 个 国家 已 经 加 入 了 这 个 公约 。 


1. 美洲 

在 美洲 ,美国 和 加 拿 大 在 信息 安全 法 律 法 规 的 制定 与 实施 方面 起 步 早 ,成 果 也 较为 
显著 。 

美国 是 迄今 为 止 信息 安全 法 律 法 规 ( 包 括 美国 国会 法 案 ) 最 多 的 国家 。 这 些 法 律 法 规 
构成 了 相对 完善 的 法 律 体 系 ,为 维护 美国 的 信息 安全 秩序 发 挥 了 关键 作用 。 该 法 律 体系 
一 方面 受 美国 国家 政体 所 具有 的 三 权 分 立 的 特点 的 影响 , 另 一 方面 也 受 日 新 月 异 的 信息 
安全 技术 的 影响 。 在 三 权 分 立 的 政体 之 下 ,美国 的 立法 和 司法 程序 相对 独立 又 相互 制约 ， 
信息 安全 的 立法 与 司法 活动 本 身 也 相应 地 处 于 不 断 调整 .完善 的 过 程 , 一 个 有 待 通过 的 法 
案 往往 既 在 国会 经 历 多 次 争论 ,又 在 民间 引起 强烈 反响 。 即 使 对 于 政府 已 经 颁布 实施 的 
法 律 , 如 果 民 间 机 构 或 民众 提出 强烈 反对 并 提交 国家 最 高 法 院 就 其 合理 性 和 公正 性 等 内 
容 进行 裁决 ,也 有 可 能 被 推翻 。 例 如 ,美国 曾经 于 1996 年 2 月 颁布 了 《正当 通信 法 令 》, 但 
是 一 些 传媒 机 构 和 民权 团体 提出 该 法 令 违反 了 宪法 所 授予 的 资讯 自由 ,提请 最 高 法 院 裁 
决 ,结果 最 高 法 院 于 1996 年 6 月 便 推翻 了 这 部 法 令 , 使 美国 联邦 政府 管制 色情 资讯 的 努 
力 遭 到 重大 挫折 。 这 件 事情 表明 在 美国 式 的 民主 下 ,Internet 的 法 制 管 理 困 难 尚 多 。 

与 美国 国家 信息 安全 立法 和 司法 活动 密切 相关 的 国家 信息 安全 工作 部 门 主要 有 : 国 
家 安全 局 (NSA) 中央 情 报 局 (CIA) ,联邦 调查 局 (FBT) 、 总 统 关键 基础 设施 保护 委员 会 
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(PCCIB) ,国家 基础 设施 保护 中 心 (NIPC) 、 国 家 计算 机 安全 中 心 .基础 设施 威胁 评估 中 
心 ` 最 高 法 院 等 。 

美国 对 国家 信息 安全 尤其 重视 ,其 行政 法 、 刑 法 .诉讼 法 等 十 分 全 面 。 从 法 规 体系 上 
说 ,在 行政 法 方面 ,1987 年 推出 的 (计算 机 安全 法 ) 定 义 了 对 联邦 计算 机 系统 中 的 敏感 资 
料 的 保护 。 修 改 后 的 这 部 (计算 机 犯罪 法 ) 在 20 世纪 80 年 代 末 至 90 年 代 初 被 美国 各 州 
作为 制定 其 地 方法 规 的 重要 依据 。 这 些 地 方法 规 结合 当地 的 具体 情况 ,确立 了 包括 计算 
机 服务 盗窃 罪 、 侵 犯 知识 产权 罪 ,破坏 计算 机 设备 或 配置 罪 .计算 机 欺骗 罪 、 通 过 欺骗 获得 
电话 或 电报 服务 罪 .计算 机 滥用 罪 计算 机 错误 访问 罪 、 非 授权 计算 机 使 用 罪 在 内 的 多 种 
罪名 。 在 刑法 方面 ,1984 年 出 台 了 《计算 机 诈骗 和 滥用 法 》,1987 年 联邦 计算 机 犯罪 法 正 
式 颁布 。 在 诉讼 法 方面 ,( 联 邦 证 据 法 ) 对 计算 机 证 据 做 出 了 相应 的 规定 。 此 外 ,美国 早已 
制定 出 信息 战 框架 ,例如 《信息 战 条 令 》《2010 年 联合 构想 ) 等 ,并 在 实战 中 得 到 了 检验 。 


2 欧洲 

与 美洲 和 亚洲 不 同 ,欧洲 多 数 国家 长 期 以 来 一 直 在 积极 地 推进 欧洲 一 体 化 进程 ,其 信 
息 安全 法 律 法 规 的 主体 也 在 很 多 情况 下 超越 了 单独 某 个 国家 的 范畴 ,与 多 个 欧洲 国家 间 
的 利益 协调 相关 ,通常 由 在 欧洲 范围 内 具有 较 强 影响 力 的 政府 间 组 织 出 面 负责 。 

欧 共 体 就 是 这 样 一 个 政府 间 组 织 。 为 了 确保 在 欧 共 体 范 围 内 正常 地 进行 信息 市 场 运 
作 ,该 组 织 确立 了 一 系列 法 律 法 规 , 具 体 包括 : 竞争 ( 反 托拉斯 ) 法 ,产品 责任 、 商 标 和 广告 
规定 ,知识 产权 保护 法 ,保护 软件 .数据 和 多 媒体 产品 及 在 线 版 权 法 ,数据 保护 法 , 跨 境 电 
子 贸易 法 ,以 及 其 他 涉及 税收 和 司法 问题 的 法 律 法 规 。 在 欧 共 体 范围 内 ,如 果 这 些 法 律 法 
规 与 欧 共 体 成 员 国 原 有 国家 法 律 相 矛 盾 , 则 必须 以 欧 共 体 的 法 律 法 规 为 准 。 

欧 共 体 成 员 国 从 20 世纪 70 年 代 末 到 90 年 代 初 ,先后 制定 并 颁布 了 各 自 有 关 数 据 安 
全 的 法 律 。 例 如 ,瑞士 早 在 1973 年 就 通过 了 世界 上 第 一 部 保护 计算 机 的 法 律 。 德 国 
1996 年 出 台 《信息 和 通信 服务 规范 法 ) 即 (多 媒体 法 》, 该 法 被 认为 是 世界 上 第 一 部 规范 
Internet 的 法 律 。 

此 外 ,俄罗斯 也 在 信息 安全 立法 执法 方面 做 了 很 多 工作 ,紧密 围绕 国家 信息 安全 制定 
了 一 系列 法 律 和 规范 ,例如 (参与 国际 信息 交流 法 》)《 俄 联邦 信息 、 信 息 化 和 信息 保护 法 》 
等 。2000 年 ,俄罗斯 总 统 普京 签发 的 ( 俄 联邦 信息 安全 学 说 ) 包 括 4 方面 内 容 : 信息 安全 
领域 的 国家 利益 ;保障 信息 安全 的 方法 ;信息 安全 保障 国家 政策 的 基本 原则 和 实施 这 一 政 
策 的 首要 措施 ;信息 安全 保障 体系 的 主要 职能 和 组 成 部 分 。 


3 亚洲 
在 亚洲 ,本 节 主 要 介绍 新 加 坡 和 日 本 的 信息 安全 法 律 法 规 情况 。 
新 加 坡 现 有 的 信息 安全 法 律 法 规 主要 有 互联 网 分 类 许可 证 制度 。 
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日 本 现 有 的 信息 安全 法 律 法 规 主要 是 由 通 产 省 编制 的 一 套 准 则 ,内 容 是 防止 越权 访 
问 计算 机 网 络 。 这 套 准 则 建议 计算 机 使 用 者 避免 将 出 生日 期 和 电话 号 码 作为 计算 机 口 
令 , 并 建议 计算 机 用 户 定期 更 改口 令 。 同 时 , 它 也 提出 应 该 像 努 力 防止 计算 机 病毒 扩散 一 
样 , 防 止 黑客 窃取 ,替换 和 破坏 网 络 上 的 数据 。2000 年 年 底 , 日 本 防卫 厅 公 开发 表 的 4 信 
息 军 事 革命 手册 》 对 信息 安全 给 予 高 度 重 视 , 强 调 要 采取 一 切 措施 防止 系统 瘫痪 ,确保 信 
息 安全 。 


652 中 国信 息 安 全 法 律 法 规 现状 


我 国 在 信息 安全 方面 也 已 经 制定 了 一 些 法 律 和 规定 。 这 些 法 规 有 国家 制定 的 和 分 管 
部 门 制定 的 ,也 有 一 些 行业 制定 了 自己 的 有 关 信 息 安全 的 规定 。 

这 些 位 于 不 同 层面 的 法 律 法 规 有 着 各 自 不 同 的 侧重 点 。 其 中 ,国家 宪法 从 国家 根本 
大 法 的 高 度 规定 了 公民 的 基本 权利 和 义务 ;国家 安全 法 、 保 密 法 从 国家 安全 、 保 守 国家 秘 
密 的 角度 提出 法 律 要 求 ;专利 法 ,著作 权 法 从 保护 知识 产权 的 角度 制定 了 法 律 约束 ;电信 
条 例 对 于 网 络 基础 设施 的 建设 、 运 行 、 安 全 、 服 务 、 利 益 给 出 了 规定 ;计算 机 信息 系统 安全 
保护 条 例 、 商 用 密码 管理 条 例 则 直接 对 信息 安全 提出 了 法 规 要 求 ; 标 准 化 法 、 产 品质 量 法 
的 有 关 规 定 对 于 在 信息 安全 领域 制定 和 实施 标准 ,保证 产品 质量 有 约束 力 ; 进 一 步 加 强 互 
联网 上 网 服务 营业 场所 管理 的 通知 互联 网 信息 服务 管理 办 法 等 对 于 网 络 化 公共 服务 提 
出 了 要 求 ;全 国人 民 代表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 ,1997 年 修订 的 刑 
法 则 对 于 行为 规范 的 法 律 界限 给 出 了 明确 的 界定 。 


1 国家 法 律 
在 我 国 现 有 的 国家 法 律 中 ,信息 安全 相关 法 律 法 规 有 : 
(1) 中 华人 民 共 和 国保 守 国家 秘密 法 (1988. 09. 05)。 
(2) 中 华人 民 共 和 国标 准 化 法 (1988. 12. 29) 。 
(3) 中 华人 民 共 和 国产 品质 量 法 (2000. 07. 08)。 
(4) 中 华人 民 共 和 国 反 不 正当 竞争 法 。 
(5) 中 华人 民 共 和 国 国家 安全 法 (1993. 02. 22) 。 
(6) 中 华人 民 共 和 国人 民警 察 法 (1995. 02. 28) 。 
(7) 中 华人 民 共 和 国 宪法 。 
(8) 中 华人 民 共 和 国 刑法 。 
(9) 中 华人 民 共 和 国 刑事 诉讼 法 。 
(10) 中 华人 民 共 和 国 行政 处 罚 法 。 
(11) 中 华人 民 共和 国 著 作 权 法 。 
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(12) 中 华人 民 共 和 国 专利 法 。 

(13) 中 华人 民 共 和 国 海关 法 。 

(14) 中 华人 民 共 和 国 商标 法 。 

(15) 中 华人 民 共 和 国电 子 签名 法 (2005. 04. 01)。 

(16) 全 国人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 。 
其 中 ,(1)、(5)、(15)、(16) 是 信息 安全 法 律 法 规 。 


2 国家 行政 法 规 

在 我 国 现 有 的 国家 行政 法 规 中 ,信息 安全 相关 行政 法 规 有 : 

(1)《 中 华人 民 共 和 国产 品质 量 认证 管理 条 例 》(1991. 05. 07)。 

(2) 国务 院 第 84 号 令 一 一 (计算 机 软件 保护 条 例 》(1991. 06. 04)。 

(3) 国务 院 第 147 号 令 一 一 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 


(1994. 02. 18) 。 


(4) 国务 院 第 195 号 令 一 一 (中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 


(5) 国务 院 第 273 号 令 一 一 (商用 密码 管理 条 例 》(1999. 10. 07) 。 

(6) 国务 院 第 291 号 令 一 一 (中 华人 民 共 和 国电 信条 例 》。 

(7) 国务 院 第 292 号 令 一 一 (互联 网 信息 服务 管理 办 法 》 

(8)《 中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 办 法 》(1996 年 2 月 1 日 中 


华人 民 共 和 国 国 务 院 令 第 195 号 发 布 ,根据 1997 年 5 月 20 日 (国务 院 关 于 修改 [中 华人 
民 共和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 ] 的 决定 ) 修 正 )。 


(9)《 全 国人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 》(2000 年 12 月 28 


日 ,第 九 届 全 国人 民 代表 大 会 常务 委员 会 第 十 九 次 会 议 通过 )。 


(10)《 中 华人 民 共 和 国电 信条 例 )(2000 年 9 月 20 日 国务 院 第 31 次 常务 会 议 通 过 ) 。 
(11)《 国 务 院 办 公 厅 关于 进一步 加 强 互联 网 上 网 服务 营业 场所 管理 的 通知 》 


(2002. 04. 03) 。 


(12)《 国 家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》( 中 办 发 [2003]27 


号 ) ,2003 年 ,中 央 办 公 厅 、 国 务 院 办 公 厅 转发 。 


(13)《 关 于 信息 安全 等 级 保护 工作 的 实施 意见 》,2004 年 9 月 15 日 ,已 经 国家 网 络 与 


信息 安全 协调 小 组 讨论 通过 。 


(14) 国务 院 第 468 号 令 一 一 (信息 网 络 传播 权 保护 条 例 》,2006 年 5 月 10 日 国务 院 


第 135 次 常务 会 议 通过 ,2006 年 7 月 1 日 起 施行 。 


(15)《 信 息 安 全 等 级 保护 管理 办 法 (试行 )》,2006 年 3 月 1 日 起 施行 。 
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(16)《 信 息 安 全 等 级 保护 管理 办 法 ) 已 于 2007 年 6 月 22 日 ,由 公安 部 .国家 保密 局 、 
国家 密码 管理 局 、 国 务 院 信息 化 工作 办 公 室 等 国家 四 部 委 制 定 完成 并 审批 通过 ,并 发 布 
施行 。 

其 中 ,(3)、(5)、(9)、(12)~(14)、(16) 是 信息 安全 行政 法 规 。 


3 部 门 规章 

在 我 国 现 有 的 部 门 规章 中 ,信息 安全 相关 规章 有 : 

1) 公安 部 

(1)《 公 安 部 关于 对 与 国际 联网 的 计算 机 信息 系统 进行 备案 工作 的 通知 》 
(1996.01.29)。 

(2) 第 32 号 令 一 一 (计算 机 信息 系统 安全 产品 检测 和 销售 许可 证 管理 办 法 》(1997. 
06. 28) 。 

(3) 第 33 号 令 一 一 (计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》(1997. 12. 30) 。 

(4) 第 51 号 令 一 一 (计算 机 病毒 防治 管理 办 法 》(2000. 04. 26)。 

(5) 中 华人 民 共 和 国 公共 安全 行业 标准 一 一 计算 机 信息 系统 安全 专用 产品 分 类 
原则 。 

(6) 关于 对 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 涉及 的 有害 数据 ” 问 
题 的 批复 。 

(7)《 联 网 单位 安全 员 管 理 办 法 (试行 )》( 公 安 部 第 十 一 局 2000 年 9 月 29 日 发 布 )。 

(8)《 互 联网 安全 保护 技术 措施 规定 )(2005 年 11 月 24 日 ,公安 部 部 长 办 公会 审议 通 
过 , 12 月 13 日 正式 颁布 ,2006 年 3 月 1 日 起 实施 )。 

(9)《 互 联网 安全 保护 技术 措施 概况 规定 》(2006. 03. 01)。 

2) 国家 保密 局 

有 《计算 机 信息 系统 国际 联网 保密 管理 规定 》(2000) 等 。 

3) 国家 密码 管理 局 ( 原 国家 密码 管理 委员 会 ) 

(1)《 国 家 密码 管理 委员 会 办 公 室 公告 (第 一 号 ) )。 

(2)《 电 子 认 证 服务 密码 管理 办 法 》(2005. 04. 01) 。 

4) 国务 院 新 闻 办 公 室 

有 (互联 网 站 从 事 登 载 新 闻 业 务 管理 暂行 规定 ) 等 。 

5) 新 闻 出 版 总 署 

(1) 新 闻 出 版 总 署 第 11 号令 一 一 (电子 出 版 物 管理 规定 》(1998. 01. 01) 。 

(2) 关于 实施 (电子 出 版 物 管理 暂行 规定 ) 若 干 问题 的 通知 。 

(3)《 互 联网 出 版 管理 暂行 规定 》(2002. 06. 27) 新 闻 出 版 总 署 、 信 息 产 业 部 令 ( 第 
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17 号 ) 。 

6) 信息 产业 部 (包括 原 邮 电 部 .电子 部 ) 

(1)《 计 算 机 信息 系统 集成 资质 管理 办 法 (试行 )》(1999) 。 

(2)《 电 信和 网 间 互 联 管理 暂行 规定 》(1997. 09. 07) 。 

(3)《 互 联网 电子 公告 服务 管理 规定 》(2000. 10. 27) 。 

(4)《 软 件 产品 管理 办 法 》(2000. 10. 27) 。 

(5)《 关 于 互联 网 中 文 域名 管理 的 通告 》。 

(6)《 互 联网 出 版 管理 暂行 规定 》(2002. 06. 07) 新 闻 出 版 总 署 , 信 息 产业 部 令 ( 第 
外 名 

(7)《 中 国 互 联网 络 域名 管理 办 法 》(2002. 08. 01) 。 

(8)《 互 联网 上 网 服务 营业 场所 管理 条 例 》(2002. 11. 15)。 

(9)《 软 件 企 业 认定 标准 及 管理 办 法 (试行 )》。 

(10)《 关 于 处 理 恶 意 占用 域名 资源 行为 的 批复 》。 

(11)《 互 联网 上 网 服务 营业 场所 管理 办 法 》(2002. 11. 15)。 

(12) 电子 认证 服务 管理 办 法 (2005. 04. 01)。 

(13)《 非 经 营 性 互联 网 信息 服务 备案 管理 办 法 》(2005. 03. 20) 。 

(14)《 互 联网 新 闻 信 息 服务 管理 )(2005. 09. 25) 国务 院 新 闻 办 公 室 、 信 息 产业 部 。 

(15)《 互 联网 电子 邮件 服务 管理 办 法 》(2006. 03. 30) 。 

(16)《 互 联网 交换 中 心 网 间 结 算 办 法 》,2006 年 10 月 23 日 发 布 ,2006 年 11 月 1 日 
起 施行 。 

(17)《 计 算 机 信息 网 络 国际 联网 出 人 口 信 道 管理 办 法 》。 

(18)《 通 信 建 设 市 场 管理 办 法 》(1995. 04. 11) 。 

(19)《 通 信行 政 处 罚 程序 暂行 规定 》(1995. 10. 27) 。 

(20)《 中 国 公 用 计算 机 互联 网 国际 联网 管理 办 法 》。 

(21)《 中 国 公众 多 媒体 通信 管理 办 法 》(1997. 12.01) 。 

(22)《 中 国 金桥 信息 网 公众 多 媒体 信息 服务 管理 办 法 》。 

7) 中 华人 民 共和 国 国 家 科学 技术 委员 会 

《科学 技术 保密 规定 》(1995 年 1 月 6 日 中 华人 民 共和 国 国 家 科学 技术 委员 会 国家 保 
密 局 令 第 20 号 发 布 ) 。 

8) 最 高 人 民法 院 

(1)《 关 于 审理 扰乱 电信 市 场 管理 秩序 案件 集体 应 用 法 律 若干 问题 的 解释 》。 

(2)《 关 于 审理 设计 计算 机 网 络 域名 民事 纠纷 案件 适用 法 律 若干 问题 的 解释 》。 

(3)《 关 于 审理 扰乱 电信 市 场 管理 秩序 案件 集体 应 用 法 律 若干 问题 的 解释 》 
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(2000 年 ) 。 


9) 广电 总 局 

关于 加 强 通过 信息 网 络 向 公众 传播 广播 电影 电视 类 节目 管理 的 通告 (1999. 10) 。 
10) 国务 院 信 息 办 

(1)《 中 国 互联 网 络 域名 注册 实施 细则 ) 等 。 

(2)《 中 国 互联 网 络 域名 注册 暂行 管理 办 法 ) 等 。 

11) 教育 部 

《教育 网 站 和 网 校 暂行 管理 办 法 ) 等 。 

12) 证 监 会 

(1)《 网 上 证 券 委托 暂行 管理 办 法 ) 等 。 

(2)《 证 券 期 货 业 信息 安全 保障 管理 暂行 办 法 》(2005. 04. 08)。 

13) 中 国人 民 银 行 

《金融 机 构 计 算 机 信息 系统 安全 保护 工作 暂行 规定 》( 公 安 部 .中国 人民 银 行 1998 年 


8 月 31 日 发 布 )。 


部 
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14) 文化 部 
(1)《 文 化 部 关于 加 强 网 络 文化 市 场 管理 的 通知 》(2002 年 ) 。 
(2)《 互 联网 出 版 管理 暂行 规定 》(2002. 08. 01) 中 国 新 闻 出 版 总 署 . 中 国信 息 产业 


令 


(3)《 互 联网 文化 管理 暂行 规定 》(2003. 05. 10) 。 

15) 卫生 部 

《互联 网 医疗 卫生 信息 服务 管理 办 法 》。 

16) 国家 烟草 专卖 局 

关于 印发 (烟草 行业 计算 机 信息 网 络 安全 保护 规定 ) 的 通知 ( 国 烟 办 [1998]305 号 ) 。 
17) 国家 质量 监督 检验 检疫 总 局 

关于 质 检 计算 机 网 络 系统 安全 运行 管理 的 暂行 规定 。 


4 地 方 性 法 律 法 规 

在 我 国 现 有 的 地 方 性 法 律 法 规 中 ,信息 安全 相关 地 方 性 法 律 法 规 有 : 
(1)《 天 津 市 公共 计算 机 信息 网 络 安全 保护 规定 》。 

(2)《 河 北 省 电子 政务 建设 总 体 规划 (2003 一 2007) 的 通知 》。 

(3)《 山 西 省 计算 机 安全 管理 规定 》。 

(4)《 大 连 市 人 民政 府 公 共 信 息 网 络 管理 暂行 规定 》。 

(5)《 黑 龙 江 省 计算 机 信息 系统 安全 管理 规定 》。 


~ 


(6)《 上 海 市 关于 加 强 本 市 政府 网 站 安全 建设 的 试行 意见 》。 
(7)《 上 海 市 数字 认证 管理 办 法 》。 

(8)《 江 苏 省 计算 机 信息 系统 安全 保护 管理 办 法 》。 

(9)《 安 徽 省 计算 机 信息 系统 安全 保护 办 法 》。 

(10)《 安 徽 省 预防 和 控制 计算 机 病毒 管理 暂行 办 法 》。 
(11)《 福 建 省 关于 加 强 基 层 文化 信息 网 络 安全 管理 工作 的 通知 》。 
(12)《 厦 门市 计算 机 信息 系统 安全 保护 暂行 办 法 》。 

(13)《 山 东 省 计算 机 信息 系统 安全 管理 办 法 》。 

(14)《 青 岛 市 信息 化 建设 管理 暂行 规定 》。 

(15) 《河南 省 计算 机 信息 系统 安全 保护 暂行 办 法 》。 

(16)《 河 南 省 学 校 计算 机 信息 系统 安全 管理 暂行 规定 》。 
(17)《 武 汉 市 电子 政务 建设 管理 暂行 办 法 )。 

(18)《 广 东 省 计算 机 信息 系统 安全 保护 管理 规定 》。 

(19) 《广东 省 计算 机 信息 系统 安全 保护 管理 规定 实施 细则 》。 
(20)《 广 东 省 电子 交易 条 例 》。 

(21)《 广 州 市 电子 公文 和 信息 交换 管理 试行 规定 》。 

(22)《 深 圳 经 济 特 区 计算 机 信息 系统 公共 安全 管理 规定 》。 
(23)《 海 南 省 数字 证 书 认证 管理 试行 办 法 》。 

(24)《 四 川 省 计算 机 信息 系统 安全 保护 管理 办 法 》。 

(25)《 宁 夏 回族 自治 区 计算 机 信息 系统 保密 工作 管理 规定 》。 


5 重要 法 律 法 规 主 要 内 容 介绍 

1)《 中 华人 民 共 和 国 宪法 》 相 关内 容 

1982 年 12 月 4 日 第 五 届 全 国人 民 代 表 大 会 第 五 次 会 议 通过 1982 年 12 月 4 日 全 国 
人 民 代 表 大 会 公告 公布 施行 ,根据 1988 年 4 月 12 日 第 七 届 全 国人 民 代 表 大 会 第 一 次 会 
议 通过 的 《中华 人民 共 和 国 宪法 修正 案 )、1993 年 3 月 29 日 第 八 届 全 国人 民 代 表 大 会 第 
一 次 会 议 通过 的 (中 华人 民 共 和 国 宪 法 修正 案 》、1999 年 3 月 15 日 第 九 届 全 国人 民 代 表 
大 会 第 二 次 会 议 通 过 的 (中华 人民 共和 国 宪法 修正 案 》 和 2004 年 3 月 14 日 第 十 届 全 国人 
民 代 表 大 会 第 二 次 会 议 通过 的 (中 华人 民 共 和 国 宪法 修正 案 ) 修 正 。 

宪法 总 纲 中 明确 了 我 国 的 国家 性 质 和 社会 制度 ,人 民 的 权力 和 行使 权力 的 途径 ,形式 
和 原则 。 新 修订 的 宪法 在 明确 社会 主义 的 公共 财产 神圣 不 可 侵犯 的 同时 也 提出 了 公民 的 
合法 的 私有 财产 不 受 侵犯 。 

宪法 明确 提出 ,国家 提倡 爱 祖国 .爱人 民 、 爱 劳动 、 爱 科学 、 爱 社会 主义 的 公德 ,在 人 民 
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中 进行 爱国 主义 ,集体 主义 和 国际 主义 ,共产 主义 的 教育 ,进行 辩证 唯物 主义 和 历史 唯物 
主义 的 教育 ,反对 资本 主义 的 .封建 主义 的 和 其 他 的 腐朽 思想 。 
国家 维护 社会 秩序 ,镇 压 叛国 和 其 他 危害 国家 安全 的 犯罪 活动 ,制裁 危害 社会 治安 、 
破坏 社会 主义 经 济 和 其 他 犯罪 的 活动 ,惩办 和 改造 犯罪 分 子 。 

宪法 规定 了 公民 的 基本 权利 和 义务 。 直 接 与 信息 化 相关 的 权利 有 ,中 华人 民 共 和 国 
公民 的 通信 自由 和 通信 秘密 受 法 律 的 保护 。 除 因 国家 安全 或 者 追查 刑事 犯罪 的 需要 ,由 
公安 机 关 或 者 检察 机 关 依 照 法 律 规 定 的 程序 对 通信 进行 检查 外 ,任何 组 织 或 者 个 人 不 得 
以 任何 理由 侵犯 公民 的 通信 自由 和 通信 秘密 ”。 

宪法 规定 ,中 华人 民 共 和 国 公民 必须 遵守 宪法 和 法 律 ,保守 国家 秘密 ,爱护 公共 财产 ， 
遵守 劳动 纪律 ,遵守 公共 秩序 ,尊重 社会 公德 。 中 华人 民 共 和 国 公民 有 维护 祖国 的 安全 、 
荣誉 和 利益 的 义务 ,不 得 有 危害 祖国 的 安全 、 荣 誉 和 利益 的 行为 。 这 些 都 是 国家 根本 大 法 
对 公民 的 基本 要 求 。 

2)《 中 华人 民 共 和 国保 守 国家 秘密 法 ) 相 关内 容 

1988 年 9 月 5 日 中 华人 民 共 和 国 主席 令 第 6 号 公布 。 

法 律 指出 ,国家 秘密 关系 国家 的 安全 和 利益 ,一 切 国 家 机 关 、 武 装 力量 、 政 党 、 社 会 团 
体 ,企业 事业 单位 和 公民 都 有 保守 国家 秘密 的 义务 。 

法 律 指定 ,国家 保密 工作 部 门 主管 全 国保 守 国 家 秘密 的 工作 。 

法 律 提出 了 保守 国家 秘密 的 工作 ,实行 积极 防范 、 突 出 重点 、 既 确保 国家 秘密 又 便利 
各 项 工作 的 方针 。 

法 律 阐明 国家 秘密 包括 下 列 秘密 事项 ， 

。 国家 事务 的 重大 决策 中 的 秘密 事项 ， 

。 国防 建设 和 武装 力量 活动 中 的 秘密 事项 ; 

。 外 交 和 外 事 活动 中 的 秘密 事项 以 及 对 外 承担 保密 义务 的 事项 ; 

。 国民 经 济 和 社会 发 展 中 的 秘密 事项 ; 

。 科学 技术 中 的 秘密 事项 ; 

。 维护 国家 安全 活动 和 追查 刑事 犯罪 中 的 秘密 事项 ， 

。 其 他 经 国家 保密 工作 部 门 确定 应 当 保守 的 国家 秘密 事项 。 

法 律 规定 ,国家 秘密 的 密级 分 为 “绝密 ”“ 机 密 ”“ 秘 密 三 级 绝密 ?是 最 重要 的 国家 
秘密 ,泄露 会 使 国家 的 安全 和 利益 章 受 特别 严重 的 损害 ; “机密 ”是 重要 的 国家 秘密 ,泄露 
会 使 国家 的 安全 和 利益 遭受 严重 的 损害 ;“ 秘 密 ” 是 一 般 的 国家 秘密 ,泄露 会 使 国家 的 安全 
和 利益 遭受 损害 。 

各 级 国家 机 关 、 单 位 对 所 产生 的 国家 秘密 事项 ,应 当 按照 国家 秘密 及 其 密级 具体 范围 
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的 规定 确定 密级 。 对 是 否 属于 国家 秘密 和 属于 何 种 密级 不 明确 的 事项 ,由 国家 保密 工作 
部 门 ,省 .自治 区 .直辖 市 的 保密 工作 部 门 ,省 .自治 区 政府 所 在 地 的 市 和 经 国务 院 批准 的 
较 大 的 市 的 保密 工作 部 门 或 者 国家 保密 工作 部 门 审定 的 机 关 确 定 。 在 确定 密级 前 ,产生 
该 事项 的 机 关 、 单 位 应 当 按 照 拟 定 的 密级 ,先行 采取 保密 措施 。 

属于 国家 秘密 的 文件 .资料 和 其 他 物品 的 制作 ` 收 发. 传递、 使用、 复制、 摘抄、 保存 和 
销毁 ,由 国家 保密 工作 部 门 制定 保密 办 法 。 采 用 电子 信息 等 技术 存 取 、 处 理 、 传 递 国家 秘 
密 的 办 法 ,由 国家 保密 工作 部 门 会 同 中 央 有 关机 关 规 定 。 

对 绝密 级 的 国家 秘密 文件 .资料 和 其 他 物品 ,必须 采取 以 下 保密 措施 : 

。 非 经 原 确定 密级 的 机 关 、 单 位 或 者 其 上 级 批准 ,不 得 复制 和 摘抄 ; 

。 收发 ,传递 和 外 出 携带 ,由 指定 人 员 担 任 , 并 采取 必要 的 安全 措施 ; 

。 在 设备 完善 的 保险 装置 中 保存 。 

具有 属于 国家 秘密 内 容 的 会 议和 其 他 活动 ,主办 单位 应 当 采 取保 密 措施 ,并 对 参加 人 
员 进 行 保密 教育 ,规定 具体 要 求 。 

在 有 线 、 无 线 通信 中 传递 国家 秘密 的 ,必须 采取 保密 措施 。 不 准 使 用 明码 或 者 未 经 中 
央 有 关机 关 审 查 批准 的 密码 传递 国家 秘密 。 不 准 通过 普通 邮政 传递 属于 国家 秘密 的 文 
件 、 资 料 和 其 他 物品 。 

法 律 规定 ,违反 本 法 规定 ,故意 或 者 过 失 泄露 国家 秘密 ,情节 严重 的 ,依照 刑法 第 一 百 
八 十 六 条 的 规定 追究 刑事 责任 。 违 反 本 法 规定 ,泄露 国家 秘密 ,不 够 刑事 处 罚 的 ,可 以 酌 
情 给予 行 政 处 分 。 为 境外 的 机 构 组织. 人员 窃 取 、 刺 探 ,收买 .非法 提供 国家 秘密 的 ,依法 
追究 刑事 责任 。 

3)《 中 华人 民 共 和 国 刑法 》 相 关内 容 

1979 年 7 月 1 日 第 五 届 全 国人 民 代 表 大 会 第 二 次 会 议 通过 ,1997 年 3 月 14 日 第 八 
届 全 国人 民 代表 大 会 第 五 次 会 议 修订 。 

在 1997 年 修订 的 刑法 中 ,增加 了 几 个 直接 与 计算 机 犯罪 有 关 的 罪行 、 罪 名 及 其 量刑 
规定 ,它们 是 : 

第 二 百 八 十 五 条 ”违反 国家 规定 ,侵入 国家 事务 、 国 防 建设 、 尖 端 科 学 技术 领域 的 计 
算 机 信息 系统 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 。 

第 二 百 八 十 六 条 ”违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 修改 、 增 加 \ 干 
扰 , 造 成 计算 机 信息 系统 不 能 正常 运行 ,后 果 严 重 的 ,处 五 年 以 下 有 期 徒刑 或 者 拘役 ;后 果 
特别 严重 的 ,处 五 年 以 上 有 期 徒刑 。 

违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删 
除 ,修改 .增加 的 操作 ,后 果 严 重 的 ,依照 前 款 的 规定 处 罚 。 

故意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正常 运行 ,后 果 严 重 的 , 依 
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照 第 一 款 的 规定 处 罚 。 

第 二 百 八 十 七 条 ”利用 计算 机 实施 金融 诈骗 盗窃、 贪污 .挪用 公款 、 窃 取 国 家 秘密 或 
者 其 他 犯罪 的 ,依照 本 法 有 关 规 定 定罪 处 罚 。 

这 是 我 国 第 一 次 在 刑法 中 明确 提出 了 与 信息 安全 相关 的 罪名 及 罚 则 。 与 信息 安全 有 
关 的 犯罪 行为 远 不 止 这 样 几 条 ,因此 ,当前 在 许多 犯罪 案件 的 处 理 中 , 尚 需 要 在 目前 刑法 
条 款 中 进行 类 比 解释 。 

4)《 全 国人 民 代表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 ) 相 关内 容 

2000 年 12 月 28 日 ,第 九 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 九 次 会 议 通过 。 

决定 指出 ,我 国 的 互联 网 ,在 国家 大 力 倡导 和 积极 推动 下 ,在 经 济 建设 和 各 项 事业 中 
得 到 日 益 广泛 的 应 用 ,使 人 们 的 生产 、 工 作 , 学 习 和 生活 方式 已 经 开始 并 将 继续 发 生 深刻 
的 变化 ,对 于 加 快 我 国 国民 经 济 、 科 学 技术 的 发 展 和 社会 服务 信息 化 进程 具有 重要 作用 。 
同时 ,如 何 保障 互联 网 的 运行 安全 和 信息 安全 问题 已 经 引起 全 社会 的 普遍 关注 。 

为 了 兴 利 除 弊 ,促进 我 国 互联 网 的 健康 发 展 , 维 护 国 家 安全 和 社会 公共 利益 ,保护 个 
人 ,法 人 和 其 他 组 织 的 合法 权益 ,决定 在 保障 互联 网 的 运行 安全 ,维护 国家 安全 和 社会 稳 
定 , 维 护 社会 主义 市 场 经 济 秩序 和 社会 管理 秩序 ,保护 个 人 、 法 人 和 其 他 组 织 的 人 身 、 财 产 
等 合法 权利 等 方面 列举 了 构成 犯罪 的 行为 ,并 提出 要 依照 刑法 有 关 规定 追究 刑事 责任 。 

在 为 了 保障 互联 网 的 运行 安全 方面 ,决定 列举 的 构成 犯罪 的 行为 有 : 

(1) 侵入 国家 事务 、 国 防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 。 

(2) 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,攻击 计算 机 系统 及 通信 网 络 ,致使 计 
算 机 系统 及 通信 网 络 遭 受 损害 。 

(3) 违反 国家 规定 ,擅自 中 断 计 算 机 网 络 或 者 通信 服务 ,造成 计算 机 网 络 或 者 通信 系 
统 不 能 正常 运行 。 

在 为 了 维护 国家 安全 和 社会 稳定 方面 ,决定 列举 的 构成 犯罪 的 行为 有 : 

(1) 利用 互联 网 造谣 、 诽 谤 或 者 发 表 、 传 播 其 他 有 害 信息 ,煽动 颠覆 国家 政权 、 推 翻 社 
会 主义 制度 ,或 者 煽动 分 裂 国家 、 破 坏 国 家 统一 。 

(2) 通过 互联 网 窃取 、 泄 露 国家 秘密 、 情 报 或 者 军事 秘密 。 

(3) 利用 互联 网 煽动 民族 仇恨 、 民 族 歧视 ,破坏 民族 团结 。 

(4) 利用 互联 网 组 织 那 教 组 织 ,联络 政教 组 织 成 员 ,破坏 国家 法 律 \ 行 政法 规 实施 。 

为 了 维护 社会 主义 市 场 经 济 秩序 和 社会 管理 秩序 方面 ,决定 列举 的 构成 犯罪 的 行 
为 有 : 

(1) 利用 互联 网 销售 伪劣 产品 或 者 对 商品 .服务 作 虚 假 宣传 。 

(2) 利用 互联 网 损害 他 人 商业 信誉 和 商品 声誉 。 

(3) 利用 互联 网 侵犯 他 人 知识 产权 。 
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(4) 利用 互联 网 编造 并 传播 影响 证 券 . 期 货 交 易 或 者 其 他 扰乱 金融 秩序 的 虚假 信息 。 

(5) 在 互联 网 上 建立 淫秽 网 站 、 网 页 ,提供 淫秽 站 点 链接 服务 ,或 者 传播 淫秽 书刊 . 影 
片 .音像 .图 片 。 

为 了 保护 个 人 、 法 人 和 其 他 组 织 的 人 身 、 财 产 等 合法 权利 方面 ,决定 列举 的 构成 犯罪 
的 行为 有 : 

(1) 利用 互联 网 侮辱 他 人 或 者 捏造 事实 诽谤 他 人 。 

(2) 非法 截获 , 算 改 、 删 除 他 人 电子 邮件 或 者 其 他 数据 资料 ,侵犯 公民 通信 自由 和 通 
信 秘 密 。 

(3) 利用 互联 网 进行 盗窃 .诈骗 .敲诈 勒索 。 

决定 提出 的 四 类 14 条 犯罪 行为 ,补充 了 1997 年 修改 的 刑法 中 对 信息 犯罪 行为 定罪 
的 不 足 , 对 当前 治理 和 打击 信息 犯罪 行为 起 到 了 重要 的 作用 。 

决定 指出 : 利用 互联 网 实施 违法 行为 ,违反 社会 治安 管理 , 尚 不 构成 犯罪 的 ,由 公安 
机 关 依 照 (治安 管理 处 罚 条 例 》 子 以 处 罚 ; 违 反 其 他 法 律 .行政 法 规 , 尚 不 构成 犯罪 的 ,由 有 
关 行 政 管理 部 门 依法 给 予 行政 处 罚 ; 对 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ,依法 给 
予 行政 处 分 或 者 纪律 处 分 。 利 用 互联 网 侵犯 他 人 合法 权益 ,构成 民事 侵权 的 ,依法 承担 民 
事 责任 。 

各 级 人 民政 府 及 有 关 部 门 要 采取 积极 措施 ,在 促进 互联 网 的 应 用 和 网 络 技术 的 普及 
过 程 中 ,重视 和 支持 对 网 络 安全 技术 的 研究 和 开发 ,增强 网 络 的 安全 防护 能 力 。 有 关 主 管 
部 门 要 加 强 对 互联 网 的 运行 安全 和 信息 安全 的 宣传 教育 ,依法 实施 有 效 地 监督 管理 ,防范 
和 制止 利用 互联 网 进行 的 各 种 违法 活动 ,为 互联 网 的 健康 发 展 创造 良好 的 社会 环境 。 从 
事 互联 网 业务 的 单位 要 依法 开展 活动 ,发现 互联 网 上 出 现 违法 犯罪 行为 和 有 害 信 息 时 ,要 
采取 措施 ,停止 传输 有 害 信息 ,并 及 时 向 有 关机 关 报 告 。 任 何 单位 和 个 人 在 利用 互联 网 
时 ,都 要 遵 纪 守 法 ,抵制 各 种 违法 犯罪 行为 和 有 害 信息 。 人 民法 院 ` 人 民 检 察 院 ,公安 机 
关 、 国 家 安全 机 关 要 各 司 其 职 ,密切 配合 ,依法 严厉 打击 利用 互联 网 实施 的 各 种 犯罪 活动 。 
要 动员 全 社会 的 力量 ,依靠 全 社会 的 共同 努力 ,保障 互联 网 的 运行 安全 与 信息 安全 ,促进 
社会 主义 精神 文明 和 物质 文明 建设 。 


6.6 小 结 


本 章 主要 介绍 了 风险 评估 、 信 息 安全 管理 标准 ISO/VIEC 17799 .信息 安全 等 级 保护 、 
信息 安全 管理 体系 ,以 及 信息 安全 法 律 法 规 , 重 点 讲述 了 风险 评估 的 概念 与 步 又 ,17799 
标准 的 主要 内 容 , 信 息 安全 等 级 保护 制度 ,信息 安全 管理 体系 各 个 阶段 需要 进行 的 主要 事 
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情 和 ISO 27001 在 我 国 的 试点 情况 。 在 法 律 法 规 方面 ,我 们 总 结 了 国际 和 中 国 的 相关 现 
状 , 列 出 了 目前 我 国正 在 执行 的 相关 国家 法 律 、 国 家 行政 法 规 、 部 门 规章 和 地 方 性 法 律 法 
规 , 并 介绍 了 几 个 重要 法 律 法 规 的 主要 内 容 。 


习题 


1. 什么 是 风险 评估 ? 简 述 风险 ,威胁 ,脆弱 性 各 自 的 定义 和 相互 间 的 关系 。 

2. 风险 评估 的 主要 流程 是 什么 ?风险 评估 在 信息 安全 管理 体系 中 的 作用 是 什么 ? 

3. ISO/IEC 17799:2005 ISO/IEC TR 13335 和 SSE-CMM 都 有 哪些 异同 之 处 ? 

4. 我 国信 息 安全 等 级 保护 ”的 定义 是 什么 ? 

5. 在 我 国 , 实 施 等 级 保护 应 该 遵从 什么 工作 程序 ? 

6. PDCA 模型 和 ISO 27000 标准 族 是 什么 关系 ? 

7. ISO 27001 和 ISO 27002 有 什么 关联 ? 当 企业 实施 信息 安全 管理 时 ,两 者 各 扮演 
了 什么 角色 ? 

8. 我 国有 无 和 ISO 17799 相对 应 的 国家 标准 ? 如 果 有 , 它 和 ISO 17799 有 什么 不 同 
之 处 ? 

9. 了 解 你 所 在 行业 的 信息 安全 相关 管理 标准 。 

10. 美国 的 国家 信息 安全 立法 和 司法 活动 相关 工作 部 门 主要 有 哪 几 个 ? 请 了 解 至 少 
一 家 部 门 的 相关 最 新 动态 (例如 ,是 否 新 成 立 了 什么 具体 的 职能 机 构 ? 新 近 颁布 了 什么 法 
令 ? 是 否 对 某 个 案件 的 处 理 办 法 存在 争议 ? 某 项 新 规定 的 实施 效果 如 何 ” 等 等 ) 。 

11. 了 解 你 所 在 地 区 的 信息 安全 相关 法 律 法 规 。 

12. 搜集 并 简 述 2 或 3 个 我 国境 内 的 信息 安全 事件 案例 ,并 说 明 与 其 相关 的 我 国信 
息 安 全 法 律 法 规 在 事件 处 理 过 程 中 的 实施 情况 。 

13. 搜集 并 简 述 一 个 其 他 国家 的 信息 安全 事件 案例 ,并 说 明 与 之 相关 的 信息 安全 法 
律 法 规 在 事件 处 理 过程 中 的 实施 情况 。 
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第 7 章 
”人员 能 力 成 熟 度 模型 


7 了 1 产生 背景 


711 关于 能 力 成 熟 度 模 型 


能 力 成 熟 度 模型 (Capability Maturity Model, CMM) ,顾名思义 ,就 是 用 来 测量 某 种 
能 力 成 熟 程度 高 低 的 模型 。 

有 关 能 力 成 熟 度 模 型 的 研究 ,最 早起 源 于 美国 军 方 。 当 时 ,他 们 为 保证 采购 的 军用 软 
件 具备 合格 的 质量 ,出 资 并 委托 美国 卡 内 基 梅 隆 大 学 开展 有 关 的 研究 工作 。 截 至 目前 , 卡 
内 基 梅 隆 大 学 的 研究 人 员 已 经 提出 了 多 种 能 力 成 熟 度 模 型 ,在 该 领域 的 研究 工作 上 取得 
了 主导 地 位 。 

确切 地 讲 , 一 个 能 力 成 熟 度 模 型 是 用 来 描述 有 效 过程 特 性 的 要 素 的 结构 化 集合 。 通 
常 ,一 个 能 力 成 熟 度 模型 可 以 被 用 作 一 个 基点 ,以 此 来 比较 和 评价 不 同 组 织 具备 某 种 能 力 
可 能 达到 的 效果 。 该 模型 可 以 提供 : 

(1) 一 个 进行 这 种 比较 和 评价 的 参考 起 点 。 

(2) 共性 经 验 能 够 带 来 的 利益 。 

(3) 一 种 通用 的 语言 和 一 个 共享 的 洞察 力 。 

(4) 一 个 优先 行动 的 架构 。 

(5) 一 个 为 实现 组 织 机 构 的 进步 而 定义 的 可 行 方法 。 

这 表明 ,采纳 能 力 成 熟 度 模 型 的 思路 ,更 有 利于 对 某 种 行为 的 实施 情况 进行 评估 和 加 
以 改进 。 

能 力 成 熟 度 模型 可 以 用 于 不 同 的 研究 领域 ,例如 ,系统 工程 .系统 安全 工程 .安全 评估 
等 。 目 前 比较 通用 的 能 力 成 熟 度 模 型 都 是 由 卡 内 基 梅 隆 大 学 的 研究 人 员 提 出 来 的 , 具 
体 有 : 

(1) 系统 工程 能 力 成 熟 度 模 型 (SE-CMM)1. 1 版 (1995 年 11 月 发 布 ) 。 

(2) 系统 安全 工程 能 力 成 熟 度 模型 (SSE-CMM)2. 0 版 (1999 年 4 月 发 布 )。 

(3) 信息 安全 评估 能 力 成 熟 度 模 型 (IA-CMM) (2001 年 发 布 ,2003 年 改名 为 “信息 安 
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全 保障 能 力 成 熟 度 模 型 ”) 。 

(4) 软件 能 力 成 熟 度 模型 (SW-CMM2) 。 

(5) 整合 产品 开发 能 力 成 熟 度 模型 (IPD-CMM4) 。 

(6) 软件 采购 能 力 成 熟 度 模 型 (SA-CMM5)。 

(7) 整合 的 能 力 成 熟 度 模 型 (CMMI6)。 

(8) 人 员 能 力 成 熟 度 模型 (P-CMM)1.0 版 (1995 年 9 月 发 布 )。 

(9) 人 员 能 力 成 熟 度 模型 (P-CMM)2.0 版 (2001 年 7 月 发 布 )。 

有 统计 资料 表明 , 自 1993 年 至 2001 年 7 月, 全球 共有 1505 个 组 织 ,8134 个 专案 向 
美国 卡 内 基 梅 隆 大 学 的 软件 工程 研究 院 (Software Engineering Institute,SEI) 提出 了 鉴 
定 报告 申请 ,其 中 有 3.5%( 大 约 52 个 组 织 ) 达 到 了 级 别 5( 优 先 级 ) 。 

其 中 ,SSE-CMM 是 系统 安全 工程 能 力 成 熟 度 模型 (Systems Security Engineering 
Capability Maturity Model) 的 缩写 ,描述 了 一 个 机 构 的 安全 工程 过 程 必须 包含 的 本 质 特 
征 。2002 年 3 月 18 日 ,SSE-CMM 被 国际 标准 化 组 织 接纳 为 国际 标准 (ISO/IEC 21827 
“信息 技术 一 系统 安全 工程 一 能 力 成 熟 度 模型 ”) 。 

SSE-CMM 覆盖 了 以 下 内 容 : 

(1) 工程 的 完整 生命 周期 ,具体 包括 开发 .运行 维护 和 终止 。 

(2) 整个 机 构 的 情况 ,包括 其 中 的 管理 活动 ,组织 活动 和 工程 活动 情况 。 

(3) 与 其 他 学 科 和 领域 (例如 ,系统 .软件 .硬件 .人 的 因素 和 测试 工程 以 及 系统 的 管 
理 、 运 行 和 维护 ) 彼 此 间 的 相互 作用 。 

(4) 与 其 他 机 构 的 相互 作用 ,包括 进行 采 办 、 系 统管 理 \ 认 证 ,认可 和 评估 的 机 构 。 

在 SSE-CMM 模型 的 描述 包含 : 

(1) 基本 原理 (方法 学 ) 和 体系 结构 。 

(2) 对 模型 的 高 层 综述 。 

(3) 该 模型 的 正确 使 用 方法 建议 。 

(4) 实施 SSE-CMM 的 方法 建议 。 

(5) 模型 属性 。 

(6) 开发 该 模型 的 要 求 。 

SSE-CMM 主要 是 对 信息 安全 工程 能 力 进 行 评估 ,是 信息 安全 工程 实施 的 标准 化 评 
人 准则 。 这 就 决定 了 两 点 : 

(1) 它 与 其 他 工程 方法 不 同 ,SSE-CMM 在 规定 特定 的 工程 过 程 和 步骤 时 ,没有 基于 
时 间 维 ,而 是 汇集 了 工业 界 中 普遍 使 用 的 信息 安全 工程 实施 方法 。 

(2) SSE-CMM 的 评估 方法 必须 得 到 标准 化 和 得 以 公认 ,在 SSE-CMM 开发 的 过 程 
中 ,SSE-CMM 的 评定 方法 一 直 在 同步 发 展 (SSE-CMM 评定 方法 已 经 达到 2. 0 版 ,于 
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1999 年 4 月 16 日 发 布 ) 。 

IA-CMM 自 2001 年 提出 以 后 发 布 了 四 个 版 本 ,最 初 被 称 为 “信息 安全 评估 
(INFOSEC Assessment) 能 力 成 熟 度 模型 ,从 2003 年 的 版 本 开始 改称 “信息 安全 保障 
(INFOSEC Assurance) 能 力 成 熟 度 模型 "*。 它 产生 的 初 囊 源 于 美国 国家 安全 局 制定 的 一 
个 信息 安全 保障 培训 和 等 级 计划 (INFOSEC Assurance Training and Rating Program， 
IATRP)。 当 时 ,美国 国家 安全 局 希望 通过 该 计划 ,针对 信息 安全 产业 缺乏 保证 安全 服务 
标准 的 问题 ,提供 一 种 解决 办 法 。 随 着 IA-CMM 由 “信息 安全 评估 ”改名 为 “信息 安全 保 
障 ”,IA-CMM 关注 的 领域 得 以 拓宽 ,表明 有 关 的 工作 侧重 点 已 经 不 再 局 限 在 传统 的 “ 信 
息 安 全 评估 ”的 领域 ,而 是 开始 关注 信息 安全 保障 能 力 成 熟 度 及 其 测量 。 

IA-CMM 以 SSE-CMM 为 基础 ,涉及 信息 安全 保障 分 析 过 程 ,是 不 可 裁剪 的 连续 模 
型 。 这 里 ,“ 不 可 裁剪 ” 指 的 是 ,为 一 个 给 定 的 组 织 进行 评价 必须 用 到 模型 中 所 有 的 过 程 
域 。 对 信息 安全 保障 进行 分 析 需 要 依据 某 些 具 体 的 分 析 结 果 , 例 如 ,确定 脆弱 性 ,对 策 和 
威胁 等 。IA-CMM 关注 的 是 产生 这 些 结果 的 过 程 。 

IA-CMM 确定 了 涉及 信息 安全 保障 活动 的 九 个 过 程 域 。 对 于 每 个 过 程 域 ,IA-CMM 
定义 了 从 1 到 5 级 的 5 个 能 力 成 熟 度 级 别 。 随 着 能 力 成 熟 度 级 别 的 提高 ,组 织 通过 连续 
执行 的 方式 所 建立 的 、 到 下 一 次 评估 前 的 评估 过 程 的 可 信 度 也 增强 。 


712 关于 人 员 能 力 成 熟 度 模型 


同 其 他 能 力 成 熟 度 模 型 一 样 ,P-CMM 的 背景 也 是 研究 在 软件 生产 中 如 何 保证 质量 
问题 。 它 是 卡 内 基 梅 隆 大 学 在 研究 软件 成 熟 度 模 型 (SW-CMM) 之 后 ,为 帮助 组 织 的 管理 
者 改进 人 员 的 能 力 成 熟 度 ,不 断 提 高 员工 劳动 力 能 力 而 研究 开发 的 能 力 成 熟 度 模型 。 在 
这 里 ,劳动 力 能 力 ? 定 义 为 一 个 机 构 执行 其 业务 活动 所 需 的 员工 知识 .技能 .处 理 能 力 的 
水 平 。 

P-CMM 的 产生 与 美国 国防 部 有 关 。 自 1980 年 起 ,美国 国防 部 每 年 大 约 花 费 300 亿 
美元 用 于 软件 采购 ,延迟 交 货 等 因素 影响 了 美国 国防 部 的 计划 实施 步骤 。 鉴 于 美国 海军 
与 空军 当时 已 经 借助 SW-CMM 成 功 地 履行 了 合作 协议 ,于 是 ,美国 国防 部 委托 隶属 于 卡 
内 基 梅 隆 大 学 软件 工程 研究 院 的 联邦 基金 研究 与 发 展 中 心 (Federally-Funded Research 
人 Development Center, FFRDC) 着 手 研究 有 关 的 问题 ,提供 一 种 能 够 用 来 对 技术 人 员 的 
能 力 成 熟 度 进行 评价 的 方式 。 

1995 年 , P-CMM 终于 面世 ,一 出 现 就 成 功 地 帮助 一 些 大 企业 (例如 , Ericsson、 
Boeing、Lockheed Martin、NovoNordiskIT、A/S, 以 及 印度 的 Tada Constancy Service) 大 
幅 地 提升 了 企业 员工 的 工作 能 力 。 后 来 ,实际 的 应 用 情况 表明 ,几乎 各 种 类 型 的 公司 和 组 
织 机 构 都 可 以 借助 P-CMM 来 提高 其 员工 的 工作 能 力 。 
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P-CMM 的 基本 原理 可 以 概括 为 以 下 10 条 原则 

(1) 在 一 个 发 展 成 熟 的 组 织 中 ,员工 的 劳动 力 能 力 直 接 关 系 到 他 们 的 业务 业绩 。 

(2) 组 织 的 员工 劳动 力 能 力 是 该 组 织 获得 竞争 和 战略 优势 的 来 源 之 一 。 

(3) 必须 将 员工 的 劳动 力 能 力 定义 与 组 织 的 战略 业务 目标 相关 联 。 

(4) 员工 对 于 知识 的 渴望 ,将 促使 他 们 从 仅 关 注 具体 工作 元 素 的 状态 ,转变 到 关注 提 
高 劳动 力 能 力 的 状态 。 

(5) 可 以 在 个 人 .工作 团队 ,劳动 力 能 力 和 组 织 等 多 个 层次 ,对 员工 的 劳动 力 能 力 进 
行 测量 并 加 以 改进 。 

(6) 一 个 组 织 应 该 在 改良 劳动 力 能 力 方面 进行 投资 ,这 种 投资 对 提高 组 织 业务 的 核 
心 能 力 非常 重要 。 

(7) 组 织 在 运营 管理 过 程 中 要 负责 对 员工 的 劳动 力 能 力 进行 管理 。 

(8) 可 以 将 员工 劳动 力 能 力 的 进步 , 当 作 组 织 整体 改进 过 程 的 组 成 部 分 ,并 在 该 过 程 
中 改进 和 提高 劳动 力 能 力 。 

(9) 在 员工 个 人 获得 他 们 的 利益 的 同时 ,组 织 有 责任 为 员工 提供 提高 其 能 力 的 机 会 。 

(10) 因为 技术 在 快速 发 展 ,组 织 的 形式 也 在 快速 发 展 ,组 织 必 须 对 其 员工 劳动 力 进 
行 持续 地 改进 ,并 帮助 员工 获得 的 劳动 力 能 力 。 

人 员 能 力 成 熟 度 模型 可 以 帮助 组 织 进 行 的 工作 有 : 

(1) 描述 员工 劳动 力 实践 的 成 熟 程度 。 

(2) 指导 建立 和 实施 一 个 持续 的 劳动 力 发 展 计划 。 

(3) 为 组 织 当 前 的 相关 行动 设 定 优 先 顺序 。 

(4) 通过 改进 过 程 的 方法 对 劳动 力 的 发 展 进行 整合 。 

(5) 建立 一 个 专业 的 、 优 秀 的 组 织 文化 。 

利用 P-CMM 实现 上 述 作用 的 方法 有 两 种 : 一 是 将 P-CMM 作为 设 定 计划 和 依据 该 
计划 进行 不 断 改进 的 一 个 行动 指南 ,二 是 将 P-CMM 作为 评估 劳动 力 实践 情况 的 标准 
= 

P-CMM 之 所 以 在 国外 得 以 风行 ,因为 它 允 许 组 织 自己 按照 自身 状况 定义 人 员 能 力 
成 熟 度 级 别 。 但 是 ,P-CMM 也 并 非 完美 无 瑕 。 它 的 缺点 主要 体现 在 四 方面 : 

(1) 过 于 注重 细节 和 过 程 过 于 繁杂 ,琐碎 ,例如 ,模型 自身 的 表述 就 长 达 上 千 页 。 

(2) 由 于 具有 系统 化 、 全 面 化 ,专业 性 强 的 特点 ,作为 一 种 商业 行为 的 咨询 服务 而 言 ， 
价格 太 高 。 

(3) 在 重视 人 力 资源 管理 实践 活动 的 同时 ,容易 忽视 与 企业 整体 发 展 战略 的 匹配 性 ， 
以 及 忽视 人 力 资源 战略 本 身 。 

(4) 国情 所 致 ,对 于 中 国企 业 而 言 ,该 体系 中 的 部 分 标准 和 指标 并 不 适用 。 
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721 模型 的 体系 结构 
人 员 能 力 成 熟 度 模型 的 体系 结构 如 图 7-2-1 所 示 。 


组 织 的 能 
t 


导致 
EF == 
成 熟 度 级 别 


过 程 域 的 目标 
Va 出 、 
/ 完成 \ 
/ 实践 、 

Ea 
“致力 于 ,-” “、、 致力 于 \ 


人 pe 入 
落实 | 制度 化 


图 7-2-1 P-CMM 的 体系 结构 


下 面 介 绍 模型 部 件 中 的 四 个 组 成 部 分 。 

(1) 成 熟 度 级 别 (maturity levels) : 一 个 能 力 成 熟 度 级 别 , 表 现 了 一 个 组 织 通过 改进 
自身 的 一 个 或 多 个 领域 ,所 能 够 创建 的 新 的 能 力 水 平 。 

(2) 过 程 域 (process area) : 一 个 与 上 述 改进 活动 相关 的 实践 集合 。 在 该 集合 中 的 元 
素 全 部 被 实践 之 后 , 即 满足 了 一 个 目标 集合 后 ,可 以 达到 某 个 成 熟 度 水 平 , 并 促成 能 力 
增长 。 

(3) 目标 (goals): 通过 实现 过 程 域 中 的 一 系列 实践 ,组 织 所 能 够 达到 的 某 种 状态 。 

(4) 实践 (practices) : 是 一 个 过 程 域 中 的 子 过 程 ， noha 

可 以 将 上 述 四 个 部 分 的 关系 简单 地 描述 为 : 人 员 成 熟 度 模型 能 够 促进 提高 一 个 组 织 
的 能 力 ,成 熟 度 包含 在 需要 处 理 的 过 程 域 中 ,为 实现 过 程 域 需要 提出 一 te 
到 这 些 目 标 则 需要 通过 实践 来 完成 ,目标 和 实践 都 需要 给 予 落实 和 制度 化 。 
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722 级 别 划分 


人 员 能 力 成 熟 度 模 型 将 人 员 能 力 成 熟 度 划分 成 5 个 级 别 , 每 个 级 别 ( 第 一 级 除外 ) 都 
需要 处 理 一 些 过 程 域 (共有 22 个 过 程 域 ) 。 

这 5 个 级 别 是 : 初始 级 (initial level) .可 管理 级 (managed level) .可 定义 级 (defined 
level) .可 预知 级 (predictable level) .优化 级 (optimizing level) 。 

(1) 在 第 一 级 (初始 级 ) 中 ,难以 保留 有 才干 的 人 员 ,虽然 一 些 能 力 低下 的 组 织 总 是 抱 
怨 员 工 能 力 不 足 ,但 是 组 织 的 行动 并 没有 显示 他 们 真正 重视 了 这 个 问题 。 组 织 的 管理 者 
仅仅 赁 经 验 和 感觉 来 进行 管理 。 虽 然 这 种 管理 工作 可 能 也 非常 辛苦 ,但 由 于 没有 关注 有 
关 的 全 局 性 问题 ,经常 造 成 员工 责任 不 清 , 对 员工 疏 于 教育 ,员工 只 能 够 根据 经 验 确 定 个 
人 在 组 织 中 的 定位 ,导致 员工 的 行为 存在 以 下 四 个 特点 : 

@ 在 完成 实践 的 过 程 中 无 法 相互 协调 ， 

@ 责任 不 到 位 ; 

@ 实践 只 是 形式 主义 ,没有 实际 效果 ; 

@ 情绪 不 佳 。 

(2) 在 第 二 级 (可 管理 级 ) 中 ,组 织 开 始 关注 员工 的 个 体 行为 。 由 于 管理 人 员 将 改进 
劳动 力 能 力作 为 最 主要 的 工作 任务 ,他们 关注 安置 员工 .协调 责任 、 提 供 资源 .管理 表现 、 
发 展 技能 和 针对 员工 成 功 的 情况 给 予 酬劳 。 这 样 的 组 织 能 够 构建 一 个 牢固 的 员工 实践 基 
础 ,从 而 帮助 每 一 个 有 经 验 的 员工 从 已 有 的 劳动 力 能 力 水 平 提高 到 一 个 新 的 能 力 成 熟 度 
级 别 。 

在 此 过 程 中 ,组 织 的 管理 者 需要 警惕 员工 个 人 发 展 可 能 遇 到 的 各 种 问题 ,例如 : 超 负 
荷 工 作 ,工作 环境 容易 导致 分 心 ,得 到 的 执行 目标 不 明确 或 反馈 信息 不 明确 ,缺乏 有 关 的 
知识 或 技能 ,缺乏 交流 ,士气 低落 。 

第 二 级 有 六 个 过 程 域 ,分 别 是 : 

@ 安置 职工 : 目的 是 建立 一 个 正式 的 方法 ,可 以 用 它 来 调配 工作 ,使 该 工作 能 够 与 
新 招募 的 .选拔 的 或 调换 分 配 的 员工 的 才 略 和 资格 相 匹配 ， 

@ 沟通 和 协调 : 目的 是 建立 及 时 的 、 跨 越 部 门 机 构 的 交流 ,保证 员工 能 够 共享 信息 
和 调整 行动 的 有 效 性 ; 

@ 操作 环境 : 目的 是 建立 并 维持 物理 的 工作 条 件 ,提供 员工 个 人 和 员工 团队 有 效 完 
成 工作 需要 的 资源 ,保障 员工 工作 精力 集中 ; 

@ 业绩 管理 : 目的 是 建立 对 于 员工 工作 业绩 进行 度量 所 需 的 目标 ,依据 这 些 目标 可 
以 对 员工 的 工作 业绩 进行 讨论 并 持续 提高 业绩 ; 

@ 培训 和 发 展 : 目的 是 保证 所 有 的 员工 具有 完成 工作 需要 的 技能 ,并 为 员工 提供 发 
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展 机 会 ; 

@ 报酬 : 目的 是 基于 员工 对 组 织 的 贡献 和 价值 大 小 为 其 提供 劳动 报酬 和 利益 。 

这 些 过 程 域 的 关系 如 图 7-2-2 所 示 。 

(3) 第 三 级 (可 定义 级 ) 有 七 个 过 程 域 ,分 别 是 : 

Q@ 能 力 分 析 : 目的 是 识别 执行 组 织 的 业务 活动 必需 的 知识 .技能 和 处 理 才 干 ,以便 
它们 可 能 被 发 展 成 劳动 力 实践 的 基础 ; 

@ 劳动 力 计 划 : 目的 是 用 现在 和 未 来 的 业务 需要 ,在 组 织 和 员工 个 人 这 两 个 层次 上 
协调 劳动 力 的 行为 ; 

@ 能 力 发 展 : 目的 是 坚持 不 懈 地 提高 劳动 力 完成 工作 任务 和 履行 职责 的 能 力 ; 

@ 事业 发 展 : 目的 是 保证 为 员工 个 人 发 展 劳动 能 力 提供 机 会 ,以 使 他 们 能 够 实现 事 
业 目 标 ; 

@ 基于 能 力 的 实践 : 目的 是 将 所 有 劳动 力 实践 建立 在 部 分 得 到 发 展 的 劳动 能 力 的 
基础 上 ; 

@ 工作 团队 发 展 : 目的 是 围绕 团队 核心 ,组 织 员工 进行 工作 ; 

@ 共享 的 文化 : 目的 是 保证 将 员工 个 人 的 知识 纳入 组 织 内 部 的 信息 流 中 并 参与 决 
策 过 程 ,同时 得 到 员工 对 决策 给 予 支持 的 承诺 。 

这 些 过 程 域 的 关系 如 图 7-2-3 所 示 。 


才能 分 析 | 工作 组 发 展 
共 
安置 职工 报酬 享 
文 才能 发 展 一 ~| 事业 发 展 
声 | 化 | 
环 成 绩 管 理 培训 和 发 展 a 
境 Es ， 
交流 与 协调 劳动 力 计划 
图 7-2-2 人 员 能 力 成 熟 度 级 别 第 二 级 图 7-2-3 人 员 能 力 成 熟 度 级 别 第 三 级 
中 的 过 程 域 的 关系 中 的 过 程 域 的 关系 


(4) 第 四 级 (可 预知 级 ) 有 六 个 过 程 域 , 分 别 是 : 

@ 能 力 整 合 : 目的 是 借助 整合 不 同 的 劳动 力 才能 ,改进 相互 依赖 的 工作 效率 和 提高 
灵活 性 ; 

@ 授权 给 工作 团队 : 目的 是 为 了 最 有 效 地 实施 团队 的 业务 活动 ,将 职责 和 权力 授予 
工作 团队 ; 
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@ 基于 能 力 的 资产 : 目的 是 在 提高 能 力 和 业绩 中 采用 基于 能 力 的 方法 ,赢得 知识 、 
经 验 和 开发 的 工具 ; 

@ 量化 的 业绩 管理 : 目的 是 实现 对 业绩 目标 的 可 测度 , 预测 和 管理 基于 能 力 的 
过 程 ; 

@ 组 织 的 能 力 管理 : 目的 是 量化 并 管理 劳动 力 和 他 们 执行 的 关键 的 .基于 能 力 的 
过 程 ; 
@ 指导 : 目的 是 在 员工 中 传递 重要 的 经 验 教训 ,改进 员工 个 人 或 工作 团队 的 能 力 。 

这 些 过 程 域 的 关系 如 图 7-2-4 所 示 。 

(5) 第 五 级 (优化 级 ) 有 三 个 过 程 域 ,分 别 是 : 

Q@ 持续 的 能 力 改进 : 目的 是 给 员工 个 人 和 工作 团队 持续 改进 其 能 力 提供 一 个 基础 ; 

@ 组 织 业绩 的 调整 : 目的 是 用 组 织 的 业绩 和 业务 目标 ,提高 能 够 超越 员工 个 人 、 工 
作 团队 和 组 织 单一 影响 的 业绩 成 效 ; 

@ 持续 的 劳动 力 改进 : 目的 是 识别 和 评估 经 改良 的 或 创新 的 劳动 力 实践 和 技术 ,并 
在 组 织 中 实现 其 中 最 有 和 希望 的 一 些 成 果 。 


这 些 过 程 域 的 关系 如 图 7-2-5 所 示 。 
定量 的 成 绩 管理 | 一 “| 组 织 的 能 力 管理 
持续 的 
| 劳动 力 创新 

才能 综合 ” [一 一 =| 授权 给 工作 组 

i 组 织 的 成 就 合作 

指导 者 基于 才能 的 资产 持续 的 能 力 改进 
图 7-2-4 人 员 能 力 成 熟 度 级 别 第 四 级 图 7-2-5 人 员 能 力 成 熟 度 级 别 第 五 级 
中 的 过 程 域 的 关系 中 的 过 程 域 的 关系 


19 员 能 力 成 熟 度 评价 方法 


P-CMM 评价 方法 是 赫 夫 利 (Hefley) 研 究 了 3 年 并 于 1998 年 提出 的 。 这 种 方法 描述 
了 实现 基于 P-CMM 的 评价 方法 的 技术 和 必要 条 件 。 它 是 一 种 诊断 性 的 工具 ,可 以 支持 、 
鼓励 并 使 组 织 能 够 吸引 发 展 、 激 励 、 组 织 和 保持 人 才 , 而 正 是 这 些 人 才能 够 使 组 织 能 够 稳 
步 提高 整体 能 力 。 这 种 方法 通过 发 现 组 织 在 人 员 管 理 方面 的 优势 和 弱势 ,帮助 组 织 管理 
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者 清楚 地 洞察 其 人 员 能 力 。 在 明确 了 组 织 的 经 营 目 标 和 现 有 的 人 员 能 力 成 熟 度 水 平 后 ， 
这 种 评价 方法 关注 的 重点 是 如 何 确定 改进 措施 并 实施 。 

标准 的 P-CMM 评价 方法 分 为 以 下 四 个 阶段 ; 

(1) 准备 阶段 一 一 为 评价 做 准备 。 

(2) 问卷 调查 阶段 一 一 实施 人 员 管理 调查 。 

(3) 评价 阶段 一 一 实施 现场 评价 。 

(4) 报告 阶段 一 一 报告 评价 结果 。 

上 述 每 一 个 评价 阶段 都 包括 了 各 种 各 样 的 任务 。 虽 然 四 个 阶段 是 前 后 连续 的 ,但 各 
阶段 包含 的 任务 却 有 重合 之 处 。 

只 有 得 到 授权 的 PCMM 评价 专家 才能 主持 正式 的 P-CMM 评价 。 评 价 小 组 包括 一 
名 经 卡 内 基 梅 隆 大 学 软件 工程 研究 院 授权 的 PCMM 评价 专家 ,和 一 些 经 过 PCMM 培 
训 的 组 员 ,一 般 不 超过 8 人 。 只 有 小 组 成 员 才能 评价 问卷 的 反馈 情况 、 检 查 文件 .实施 评 
价 面谈 ,整理 评价 数据 ,和 确定 成 熟 度 等 级 。 

评价 小 组 必须 具备 以 下 的 素质 和 资格 : 至 少 有 一 人 必须 是 卡 内 基 梅 隆 大 学 软件 工程 
研究 院 授权 的 P-CMM 评价 专家 ,至 少 有 一 人 来 自 被 评价 的 组 织 ,至 少 有 一 人 有 全 面 丰富 
的 人 力 资源 管理 经 验 ,所 有 组 员 都 必须 具备 进行 评价 所 需 的 知识 、 技 术 和 能 力 ,并 且 经 六 
P-CMM 培训 。 

在 “评价 一 改进 一 再 评价 一 再 改进 ”的 循环 过 程 中 ,组 织 不 断 提高 其 人 员 管 理 水 平 , 从 
而 提高 其 人 员 成 熟 度 。 

当 P-CMM 评估 和 软件 过 程 评估 一 起 进行 时 ,P-CMM 的 评估 数据 必须 单独 收集 , 因 
为 它 的 评估 单元 并 不 是 软件 过 程 评估 的 实施 单元 一 一 项 目 , 而 是 组 织 的 人 事 单元 ,比如 工 
作 组 、 部 门 以 及 这 些 单元 如 何 实施 劳动 力 实践 。 尽 管 这 样 ,P-CMM 评估 还 是 可 以 使 用 软 
件 过程 评 估 的 一 些 惯例 ,例如 培训 评估 队伍 ,收集 间 卷 数据 、 确 认 数 据 可 信和 度 以 及 对 组 织 
不 同 级 别 的 人 员 进 行 访谈 等 。P-CMM 的 评估 结果 可 以 和 别 的 评估 结果 同时 得 到 ,但 是 
必须 另外 进行 单独 的 分 析 。 

P-CMM 评估 工作 将 劳动 力 实践 视 为 在 全 组 织 内 进行 的 工作 。P-CMM 评估 组 会 判 
断 相应 的 实践 活动 是 否 确实 在 全 组 织 内 得 以 实施 ,以 及 这 种 实施 情况 是 否 得 以 制度 化 。 
它们 还 会 判断 每 个 关键 过 程 域 的 目标 和 意图 是 否 已 经 实现 。 当 然 ,它们 没有 必要 评估 超 
过 当前 组 织 成 熟 度 等 级 的 过 程 域 。 

P-CMM 评估 的 结果 勾勒 了 组 织 在 P-CMM 过 程 域 上 所 表现 出 来 的 强 弱 程度 。 一 个 
组 织 的 成 熟 度 级 别 就 是 组 织 实现 的 所 有 关键 过 程 域 中 的 最 低级 别 。 
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_| 国 | 小结 


本 章 介绍 了 人 员 能 力 成 熟 度 模型 的 产生 背景 .主要 内 容 和 人 员 能 力 成 熟 度 评价 方法 ， 
重点 介绍 了 人 员 能 力 成 熟 度 模型 五 个 级 别 中 的 具体 过 程 域 ,以 及 处 在 同一 级 别 中 的 各 个 
过 程 域 彼此 间 的 联系 。 为 了 帮助 读者 理解 人 员 能 力 成 熟 度 模型 的 概念 和 作用 ,我 们 简要 
回顾 了 能 力 成 熟 度 模型 研究 活动 的 最 初 起 源 ,以 及 美国 卡 内 基 梅 隆 大 学 的 一 系列 研究 活 
动 ,希望 能 够 在 此 基础 上 说 明 人 员 能 力 成 熟 度 模型 与 其 他 若干 个 更 为 大 家 所 熟知 的 能 力 
成 熟 度 模型 (例如 SSE-CMM 、IA-CMM 、SE-CMM) 的 联系 和 区 别 。 最 后 ,我 们 介绍 了 人 
员 能 力 成 熟 度 评价 方法 的 主要 思想 ,以 及 该 评价 方法 在 具体 评估 实施 过 程 中 需要 注意 的 
一 些 问题 ,希望 帮助 读者 进一步 理解 人 员 能 力 成 熟 度 模型 及 其 应 用 模式 。 


习题 


1. 什么 是 CMM? 它 的 作用 是 什么 ? 

2. 什么 是 SSE-CMM? 它 有 哪些 特点 ? 

3. IA-CMM 与 SSE-CMM 有 什么 联系 ? 

4. P-CMM 和 CMM 有 什么 关系 ? 为 什么 要 在 出 现 了 众多 的 CMM 之 后 还 要 发 布 
P-CMM? 

5，P-CMM 可 以 分 为 几 个 组 成 部 分 ?各 部 分 之 间 的 关系 如 何 ? 

6. P-CMM 的 五 个 成 熟 度 级 别 之 间 的 差别 在 何 处 ? 

7. P-CMM 和 第 6 章 提 到 的 SSE-CMM 有 何 差异 ? 
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8 音 
名 案例 研究 


8.1 案例 一 : 某 艺术 馆 网 络 安全 解决 方案 


研究 


某 艺术 馆 占 地 面积 约 4000m? ,有 1800m 的 展览 场地 。 该 馆 的 局 域 网 络 由 Accton 智 
邦 大 陆 科技 有 限 公 司 设计 和 安装 。 

经 过 充分 考虑 和 反复 论证 ,在 该 馆 有 关 人 员 的 协助 下 , 智 邦 科 技 公 司 将 用 户 的 需求 定 
位 在 以 下 4 点 : 

(1) 设置 三 个 无 线 区 域 , 即 办 公 区 域 (VLAN-1) 公共 用 户 区 域 (VLAN-2)、 公 共 接 人 
区 域 (VLAN-3)。 办 公 区 域 和 公共 用 户 区 域 的 用 户 都 能 接 入 到 公共 接 入 区 域 ,公共 开放 
用 户 通过 无 线 上 网 ,免费 享受 Internet 服务 。 用 户 之 间 相互 隔离 ,并 且 与 办 公 区 域 隔离 ， 
即 数据 不 能 共享 。 

(2) 启用 最 高 等 级 的 无 线 加 密 方式 ,保证 艺术 馆 内 部 网 络 不 被 侵入 。 

(3) 员工 宿舍 与 主楼 之 间 启 动 VPN 方式 进行 连接 ,实现 远程 连接 。 

(4) 办 公用 户 能 共享 上 网 ,共享 打印 机 ,共享 服务 器 文件 资源 。 

依据 上 述 需求 定位 ,解决 方案 实施 后 的 网 络 拓扑 图 如 图 8-1-1 所 示 。 

其 中 ,方案 设计 者 使 用 了 一 台 SMC6726AL2 24 口 网 管 交换 机 连接 用 户 计算 机 、 服 务 
器 等 ,其 中 服务 器 连接 有 一 系列 打印 机 ,提供 打印 服务 。 网 络 中 有 3 个 VLAN 网 络 ， 
VLAN-1 为 办 公 区 域 ,VLAN-2 为 公共 用 户 区 ,VLAN-3 为 公共 接 入 区 。 该 网 络 能 够 支 
持 无 线 应 用 ,为 办 公 人 员 和 公共 用 户 提供 无 线 上 网 服务 ,例如 ,用 户 可 以 使 用 配 有 无 线 网 
卡 的 笔记 本 、PDA/Packet PC 等 无 线 设备 接 入 本 网 络 享 受 上 网 服务 。VLAN-3 公共 接 入 
区 通过 SMCBR14VPN 路 由 器 与 Internet 相连 ,在 该 路 由 器 上 配置 有 SPI 防火 墙 \ 内 置 
NAT 和 DHCP 服务 。 

方案 设计 者 提供 的 资料 显示 ,SMCBR14VPN 路 由 器 部 署 在 艺术 馆 主 楼 旁 的 员工 宿 
舍 ( 附 楼 ) ,可 以 同时 启动 40 个 独立 的 IPSec VPN 通道 ,可 以 对 分 支 机 构 和 出 差 在 外 的 移 
动工 作 人 员 与 本 网 络 的 连接 进行 保护 ,并 且 提供 了 DMZ 功能 ,可 以 根据 需要 在 DMZ 区 
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i “笔记 本 计算 机 
一 二 
; 笔记 本 计算 机 


图 8-1-1 解决 方案 实施 后 的 网 络 拓扑 图 


域内 部 署 Web 服务 器 。 
对 于 上 述 解 决 方案 的 安全 性 ,分 析 研 究 结果 如 下 : 
首先 ,对 于 无 线 服务 的 策略 ,考虑 到 艺术 馆 的 面积 并 不 是 非常 大 , 若 采用 两 台 AP 的 话 

可 能 会 引起 信号 的 重 又 干扰, 而且 造 成 设备 重复 安置 的 浪费 。 设 计 者 采用 了 一 台 AP 两 套 

SSID 的 策略 ,使 用 了 SMC 企业 级 无 线 网 桥 /AP-SMC2555W-AG, 此 款 设备 的 高 级 设置 中 可 

以 允许 用 户 在 一 台 AP 上 ,同时 公布 出 两 个 SSID, 并 且 两 个 SSID 分 属 两 个 VLAN。 

一 个 SSID 用 来 公布 给 公共 用 户 ,公共 用 户 连 接 这 个 SSID 后 ,自动 加 入 VLAN-2, 且 
启用 无 线 用 户 相互 之 间隔 离 功能 ,这 样 做 有 效 防止 了 公共 用 户 间 计 算 机 病毒 的 相互 感染 。 
另 一 个 SSID 关闭 广播 功能 ,只 告知 内 部 办 公 人 员 ,工作 人 员 连 接 这 个 SSID 后 ,自动 

加 入 VLAN-1 ,为 进一步 增强 内 部 办 公 无 线 网 络 的 安全 性 ,对 内 部 使 用 无 线 网 络 的 用 户 启 

用 128 位 的 WPA-PSK 方式 的 加 密 。 

但 是 这 样 做 仍然 有 一 个 潜在 的 危险 ,就 是 工作 人 员 可 能 会 泄露 后 一 个 SSID ,而 使 得 
攻击 者 有 机 可 乘 。 攻 击 者 一 旦 得 到 了 这 个 SSID 地 址 ,可 以 利用 无 线 网 络 的 开放 性 特点 ， 
暗中 对 其 进行 监听 而 不 会 被 发 现 , 当 攻击 者 收集 到 足够 的 信息 以 后 ,就 有 可 能 实施 攻 入 行 
为 。 所 以 ,建议 当 连 入 办 公 SSID 以 后 ,不 是 直接 加 入 VLAN-1, 而 是 先 对 身份 进行 验证 ， 
才 允 许 登 录 。 例 如 ,可 以 附加 MAC 限制 ,使 用 账号 口令 ,或 者 采用 生物 特征 识别 等 技术 ， 
对 内 部 人 员 的 登录 进行 控制 等 。 

对 于 VLAN-1, 为 办 公 网 络 , 设 计 者 在 路 由 器 上 设置 了 VLAN-1 和 VLAN-2 不 能 互 
访 ,这 种 隔离 增强 了 其 安全 性 ,VLAN-2 中 出 现 问题 ,并 不 影响 VLAN-1, 反 之 亦 然 。 但 
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是 ,由 于 这 部 分 网 络 中 有 服务 器 存在 ,其 安全 问题 仍 不 容 忽 

由 于 VLAN-1 仍 可 通过 VLAN-3 与 Internet 相 接 ,容易 感染 Internet 上 的 病毒 , 同 
时 ,VLAN-1 中 的 工作 人 员 的 操作 也 影响 了 这 部 分 网 络 的 安全 ,如 工作 人 员 接 受 带 病毒 
的 邮件 、 运 行 了 带 病毒 的 程序 ,使 用 了 带 病毒 的 外 存储 介质 (光盘 、 优 盘 等 ) ,病毒 的 感染 不 
仅 可 能 会 使 服务 器 停止 服务 影响 工作 ,甚至 可 能 造成 整个 局 域 网 的 瘫痪 。 
因此 ,必须 对 VLAN-1 中 的 各 个 机 器 加 装 杀 毒 软件 ,定期 查 杀 、 定 时 升级 ,而 且 要 有 
专人 对 服务 器 进行 维护 ,一 旦 出 现 问 题 要 及 时 补救 。 还 要 对 工作 人 员 的 上 机 工作 做 出 要 
求 , 最 好 对 所 有 工作 人 员 进 行 一 些 安全 常识 的 培训 ,并 给 出 安全 责任 的 条 例 , 对 工作 人 员 
的 私人 行为 做 出 警告 。 如 有 必要 需要 对 网 络 的 某 些 服务 做 出 禁止 ,提供 本 地 的 邮件 服务 
以 便 对 电子 邮件 的 病毒 传播 进行 控制 。 
对 于 VLAN-3, 这 里 是 整个 局 域 网 与 Internet 的 接口 ,其 安全 的 重要 性 不 言 而 喻 ,从 
资料 中 可 知 路 由 器 配 内 置 有 SPI 防火 墙 ,但 是 并 没有 给 出 其 防火 墙 的 资料 ,由 于 现今 能 够 
穿 过 防火 墙 的 病毒 和 攻击 方法 很 多 ,因此 这 里 的 防火 墙 可 靠 与 否 也 是 一 个 很 大 的 问题 , 必 
须 对 它 进行 正确 配置 ,并 且 有 专人 对 其 进行 实时 监视 。 特 别 地 ,如 果 局 域 网 内 部 署 了 
Web 服务 器 ,整个 局 域 网 会 暴露 在 Internet 下 ,会 有 更 多 的 恶意 攻击 发 生 , 因 此 ,保证 防 
火 墙 的 可 靠 性 ,及 时 发 觉 人 侵 活动 并 做 出 处 理 , 非 常 的 重要 。 

考虑 到 这 个 网 络 的 规模 确实 不 大 ,而 且 考 虑 其 为 一 个 公益 性 机 构 的 艺术 馆 , 加 之 还 未 
提供 Web 服务 ,恶意 攻击 者 应 该 为 数 不 多 ,但 是 未 雨 绸 缪 ,安全 措施 还 是 一 定 要 做 好 的 ， 
将 来 一 旦 推出 了 Web 服务 ,有 必要 对 网 络 拓扑 进行 一 些 调整 ,再 分 出 一 个 独立 的 区 域 放 
置 Web 服务 器 ,如 果 需 要 Web 服务 器 与 现存 服务 器 的 连接 ,最 好 在 Web 服务 器 与 现存 
服务 器 中 间 加 一 个 中 介 进 行 防护 ,并 对 通信 进行 加 密 。 
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在 当今 全 球 一 体 化 的 商业 环境 中 ,信息 的 重要 性 被 广泛 接受 ,信息 系统 在 商业 和 政 
府 组 织 中 得 到 了 真正 的 广泛 的 应 用 。 许 多 组 织 对 其 信息 系统 不 断 增长 的 依赖 性 ,加 上 
在 信息 系统 上 运作 业务 的 风险 ,收益 和 机 会 ,使 得 信息 安全 管理 成 为 企业 管理 越 来 越 
关键 的 一 部 分 。 管 理 高 层 需要 确保 信息 技术 适应 企业 战略 ,企业 战略 也 恰当 利用 信息 
技术 的 优势 。 

某 市 政 管理 委员 会 原 有 网 络 拓扑 图 如 图 8-2-1 所 示 。 网 络 中 内 部 OA 服务 器 局 域 网 
和 内 部 办 公 局 域 网 及 外 部 服务 器 局 域 网 相互 逻辑 隔离 。 在 内 部 OA 服务 器 局 域 网 中 接 入 
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内 网 OA 系统 的 Web 服务 器 和 数据 库 服务 器 ,在 外 部 服务 器 局 域 网 接 入 外 网 Web 服务 
器 \ 数 据 库 服 务 器 .DNS/E-mail 服务 器 ,办 公 局 域 网 中 的 终端 可 以 访问 内 网 OA 系统 的 
同时 也 可 以 访问 Internet, 内 网 OA 服务 器 和 外 网 服务 器 之 间 也 可 以 实时 通信 ,三 网 通过 
两 台 防 火 墙 进行 访问 控制 以 达到 逻辑 隔离 的 效果 。 


服务 器 ”服务 器 


二 数据 
市 政府 办 公 让 网 到 
外 网 防火 填 服务 器 ”服务 器 Ee 
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内 网 Web 内 网 数据 。 息 代理 星 服务 器 
服务 器 ” 库 服务 器 。 服务 器 


图 8-2-1 某 市 政 管理 委员 会 原 有 网 络 拓扑 图 


该 市 级 城市 管理 信息 平台 的 网 络 系统 逻辑 结构 如 图 8-2-2 所 示 。 

这 个 信息 系统 面临 的 安全 性 问题 ,主要 来 源 于 以 下 风险 要 素 : 

1) 环境 和 硬件 

地 震 、 水 灾 、 火 灾 、 有 害 气体 和 其 他 环境 事故 (如 电磁 污染 等 ) 的 破坏 。 

2) 网 络 层 

网 络 层 是 网 络 入 侵 者 进攻 信息 系统 的 渠道 和 通路 。 许 多 安全 问题 都 集中 体现 在 网 络 

层 的 安全 方面 。 其 具体 表现 如 下 : 

(1) 网 络 拓扑 结构 : 保证 网 络 安全 的 首要 问题 就 是 要 合理 划分 网 段 , 利 用 网 络 中 间 
设备 的 安全 机 制 控制 各 网 络 间 的 访问 。 

(2) 网 络 协议 : 由 于 网 络 系统 内 运行 的 TCP/IP 协议 并 非 专 为 安全 通信 而 设计 ,所 以 
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图 8-2-2 菜市 级 城市 管理 信息 平台 的 网 络 系统 逻辑 结构 图 


网 络 系统 存在 大 量 安全 隐患 和 威胁 。 


3) 操作 系统 
由 于 目前 所 使 用 的 计算 机 网 络 操作 系统 ,其 系统 本 身 在 结构 和 代码 设计 时 偏重 于 考 


虑 系统 使 用 的 方便 性 ,所 以 易 导致 系统 的 安全 机 制 不 健全 ,存在 很 多 安全 漏洞 。 


4) 数据 库 
由 于 数据 库 管理 系统 对 数据 库 管理 是 建立 在 分 级 管理 的 概念 上 ,因此 数据 库 管理 系 


统 的 安全 问题 也 是 可 想 而 知 。 再 则 数据 库 管 理 系统 的 安全 必须 与 操作 系统 的 安全 相配 
套 , 所 以 随 之 而 来 就 带 来 了 一 系列 的 问题 ,这 无 疑 是 一 个 先天 的 不 足 。 


5) 应 用 系统 
应 用 层 安 全 是 指 网 络 上 的 应 用 系统 的 安全 ,包括 各 个 业务 系统 的 应 用 系统 ,例如 内 部 


办 公 自 动 化 系统 、 网 上 审批 系统 等 。 


应 用 层 安 全 的 解决 目前 往往 依赖 于 网 络 层 、 操 作 系 统 、 数 据 库 的 安全 ,由 于 应 用 系统 


复杂 多 样 ,没有 特定 的 安全 技术 能 够 完全 解决 一 些 特殊 应 用 系统 的 安全 问题 。 但 对 一 些 
通用 的 应 用 程序 ,如 WebServer 程序 、FTP 服务 程序 、E-mail 服务 程序 ,浏览 器 、MS 
Office 办 公 软 件 等 ,漏洞 扫描 系统 可 以 帮助 检查 这 些 应 用 程序 自身 的 安全 漏洞 和 由 于 配 
置 不 当 造成 的 安全 漏洞 。 


6) 人 为 因素 
无 论 什 么 样 的 网 络 系统 都 离 不 开 人 的 管理 ,但 大 多 数 网 络 系统 又 缺少 安全 管理 员 , 特 


别 是 高 素质 的 网 络 管理 员 。 另 外 ,也 缺少 网 络 安全 管理 的 技术 规范 ,缺少 定期 的 安全 测试 
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与 检查 以 及 缺少 安全 监控 。 甚 至 有 的 网 络 管理 员 和 用 户 的 注册 ,口令 等 至 今 还 处 于 默认 
状态 。 所 以 人 为 因素 也 是 影响 信息 系统 安全 的 一 个 重要 原因 。 

如 图 8-2-3 所 示 ,市 级 城市 管理 信息 平台 的 网 络 系统 面临 的 威胁 种 类 各 异 ,主要 有 以 
下 几 类 ， 

(1) 内 部 窃 密 。 

(2) 截 收 。 

(3) 非法 访问 。 

(4) 破坏 信息 的 完整 性 。 

(5% 时 完 。 

(6) 破坏 系统 的 可 用 性 。 

(7) 重 放 。 

(8) 否认 。 

(9) 其 他 威胁 。 


图 8-2-3 某 市 政 管 委 信息 化 网 络 系统 各 构成 要 素 的 安全 风险 


这 些 威胁 可 能 存在 的 位 置 .安全 风险 以 及 对 应 的 安全 需求 见 表 8-2-1。 
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表 8-2-1 某 市 级 城市 管理 信息 平台 的 网 络 系统 面临 的 安全 风险 和 安全 需求 


位 置 安全 风险 安全 需求 
基础 设施 
病毒 和 主动 攻击 保证 网 络 设备 不 被 人 侵 
互联 网 出 口 “| 信息 窃取 ,假冒 ,否认 保证 边界 路 由 和 协议 的 安全 
信息 安全 访问 的 问题 能 够 与 攻击 源 追 踪 系统 互通 
网 络 可 靠 性 问题 保证 不 应 降低 接 和 速度 和 增加 显著 延迟 
接 入 设备 
对 设备 的 控制 企图 保护 设备 安全 
限制 进入 网 络 的 非法 数据 包 
通过 边界 设备 发 起 对 其 他 网 络 的 攻击 
记录 和 跟踪 非法 数据 包 来 源 
前 端 服务 
管 委 办 公 网 Dos 攻击 防御 DoS 
保护 服务 提供 设备 的 安全 (操作 系统 ) 
系统 本 身 的 缺陷 
保护 服务 软件 系统 的 安全 
保护 服务 系统 数据 的 安全 
信息 窃取 ,假冒 ,否认 与 互联 网 隔离 
实时 入 侵 告警 和 响应 
核心 网 络 设备 
网 络 设备 的 企图 控制 保证 网 络 设备 不 被 入侵 
针对 路 由 协议 的 攻击 保证 路 由 协议 的 安全 
保证 服务 协议 的 安全 
| 保证 不 过 多 地 降低 系统 性 能 
呼叫 中 心 接 入 政务 专 网 和 政务 专 网 隔离 
市 级 平台 接 入 政务 专 网 和 政务 专 网 隔离 
区 级 平台 接 入 政务 专 网 和 政务 专 网 隔离 
委 办 局 和 专业 公司 接 人 政务 专 网 和 政务 专 网 隔离 
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续 表 
位 置 安全 风险 安全 需求 
数据 交换 
政务 专 网 传输 数据 的 截获 和 修改 保护 提供 管理 监控 功能 的 设备 
存储 数据 的 修改 和 破坏 敏感 数据 的 传输 加 密 和 完整 性 检查 
应 用 服务 器 区 
内 部 攻击 严格 的 访问 控制 
渗透 到 网 络 中 心 后 ,发 起 攻击 对 系统 和 数据 访问 的 审计 
传输 数据 的 截获 和 修改 保护 提供 管理 监控 功能 的 设备 
敏感 数据 的 传输 加 密 和 完整 性 检查 
敏感 数据 的 存储 /备份 加 密 
存储 数据 的 修改 和 破坏 系统 /数据 的 备份 和 恢复 
和 办 公 网 隔离 
市 六 平 台 才 网 实时 入 侵 告警 和 响应 
数据 库 区 
内 部 攻击 严格 的 访问 控制 
渗透 到 网 络 中 心 后 ,发 起 攻击 对 系统 和 数据 访问 的 审计 
传输 数据 的 截获 和 修改 保护 提供 业务 支持 的 设备 
敏感 数据 的 传输 加 密 和 完整 性 检查 
敏感 数据 的 存储 /备份 加 密 
存储 数据 的 修改 和 破坏 系统 /数据 的 备份 和 恢复 
和 应 用 服务 器 区 隔离 
实时 入 侵 告警 和 响应 
_ 区 3 小结 


本 章 介绍 了 两 个 案例 ,分 别 是 某 艺 术 馆 网 络 安全 解决 方案 和 某 市 政 管理 委员 会 网 络 

安全 解决 方案 。 我 们 对 每 个 案例 中 提 到 的 技术 和 管理 解决 方案 都 进行 了 分 析 。 其 中 ,对 

于 案例 一 ,侧重 分 析 无 线 网 络 应 用 的 安全 问题 。 对 于 案例 二 ,侧重 分 析 政务 网 络 的 信息 安 
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全 隐患 与 需求 。 

我 们 期 望 通过 这 两 个 案例 帮助 读者 在 了 解 和 掌握 本 书 前 述 各 章 内 容 的 基础 上 ,能 够 
尝试 着 解决 客观 世界 中 的 现实 问题 ,通过 采取 必要 的 技术 方法 和 管理 措施 ,改善 网 络 与 信 
息 系 统 的 安全 状况 ,学 以 致 用 。 


习题 


1. 结合 案例 一 考虑 以 下 问题 : 

(1) 将 该 网 络 划分 为 三 个 虚拟 专 网 (VLAN) 的 作用 是 什么 ? 

(2) 为 何在 解决 方案 中 采用 了 一 台 AP 两 套 SSID 的 策略 ? 

(3) 描述 该 方案 所 用 无 线 加 密 设 备 的 主要 功能 。 

(4) 如 果 随 着 业务 的 拓展 ,需要 对 该 艺术 馆 的 网 络 拓扑 进行 一 些 调整 ,分 出 一 个 独立 
的 区 域 放 置 Web 服务 器 等 设备 , 画 出 必要 的 示意 图 ,并 说 明 图 中 主要 组 件 的 作用 。 

2. 结合 案例 二 考虑 以 下 问题 : 

(1) 该 市 政 管 委 信息 化 网 络 系统 中 的 主要 信息 安全 风险 有 哪些 ? 

(2) 核心 网 络 设备 .应 用 服务 器 和 数据 库 的 主要 信息 安全 需求 包括 哪些 ? 

(3) 需要 采用 什么 技术 来 满足 该 网 络 的 安全 需求 ?请 列 出 必要 的 4 一 6 个 产品 名 单 ， 
并 说 明 这 些 产品 的 主要 功能 ,性 能 指标 和 配置 特点 。 

(4) 如 何 改进 信息 安全 管理 ? 
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应 用 程序 体系 结构 中 的 视图 
CDSA 的 体系 结构 

PDRR 模型 

纵深 防御 战略 的 要 素 之 一 : 人 
纵深 防御 战略 的 要 素 之 一 : 技术 
纵深 防御 战略 的 要 素 之 一 : 管理 
某 中 学 校园 网 拓扑 结构 图 

某 公 司 局 域 网 拓扑 图 

密 钥 管 理 系统 组 成 

密 钥 管 理 系统 逻辑 结构 图 

KMI 体系 结构 

交叉 认证 网 信任 模型 结构 图 

桥 CA 信任 模型 结构 图 

CA 系统 的 逻辑 结构 

独立 式 RA 体系 结构 图 

RA 体系 结构 

嵌入 式 RA 体系 结构 图 

公 钥 证 书 系统 的 目录 服务 结构 设计 
可 信和 时间 戳 服 务 系统 体系 结构 

证 书 查询 验证 服务 系统 的 应 用 模式 
PMI 基本 结构 和 应 用 模型 

集中 式 授权 管理 体系 结构 图 

分 布 式 授权 管理 体系 结构 图 

容 灾 备 份 与 故障 恢复 系统 体系 结构 图 
IDS 系统 构件 模型 图 

安全 中 间 件 体系 结构 

无 线 网 络 的 主要 应 用 示意 图 

WWW 结构 与 WAP 结构 的 比较 
WAP 协议 栈 


me 附录 人 图 表 目录 mm 


3-9-4 WAP 的 安全 体系 结构 

图 3-9-5 WTLS 协议 的 结构 

3-9-6 WPKI 的 结构 和 工作 流程 

图 3-9-7 802.11 的 协议 实体 

图 3-9-8 使 用 单独 防火 墙 的 无 线 局 域 网 设计 

图 3-9-9 使 用 双重 防火 墙 的 无 线 局 域 网 设计 

图 4-2-1 天 融 信 防 火 墙 部 署 案例 

图 4-4-1 和 冠 群 金属 KILL 过 滤 网 关 应 用 示意 

图 4-8-1 CFCA 手机 证 书 工作 示意 图 

图 4-9-1 TPM 体系 结构 

图 5-2-1 我 国 的 信息 安全 标准 体系 框架 

图 6-1-1 风险 评估 各 要 素 关系 图 

图 6-1-2 控制 措施 与 风险 程度 的 关系 

图 6-1-3 资产 的 相对 价值 (V) 与 威胁 真实 发 生 的 可 能 性 (PTV) 的 关系 
图 6-1-4 进行 风险 评估 的 实际 工作 流程 

图 6-2-1 BS 7799 标准 发 展 历程 

图 6-4-1 PDCA 模型 

图 7-2-1 P-CMM 的 体系 结构 

图 7-2-2 人 员 能 力 成 熟 度 级 别 第 二 级 中 的 过 程 域 的 关系 
图 7-2-3 人 员 能 力 成 熟 度 级 别 第 三 级 中 的 过 程 域 的 关系 
图 7-2-4 人员 能 力 成 熟 度 级 别 第 四 级 中 的 过 程 域 的 关系 
图 7-2-5 人 员 能 力 成 熟 度 级 别 第 五 级 中 的 过 程 域 的 关系 
图 8-1-1 解决 方案 实施 后 的 网 络 拓扑 图 

图 8-2-1 某 市 政 管理 委员 会 原 有 网 络 拓扑 图 

图 8-2-2 某 市 级 城市 管理 信息 平台 的 网 络 系统 逻辑 结构 图 
图 8-2-3 某 市 政 管 委 信息 化 网 络 系 统 各 构成 要 素 的 安全 风险 


表 1-2-1 对 意识 ,培训 ,教育 这 三 者 的 比较 

表 4-4-1 冠 群 金 展 KILL 过 滤 网 关 功 能 

表 4-5-1 IPSec VPN 和 SSL VPN 的 对 比 

表 4-8-1 基于 服务 的 PKI/CA 和 自 建 PKI/CA 的 比较 

表 5-2-1 2002 年 前 制定 的 信息 安全 国家 标准 (21 项 ) 

表 6-2-1 ISO/IEC 27002 内 容 一 览 表 

表 8-2-1 菜市 级 城市 管理 信息 平台 的 网 络 系统 面临 的 安全 风险 和 安全 需求 
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英文 缩写 
ADM 
ADML 
AES 
AP 
ATM 
CDSA 
CE 
CFCA 
CMM 
CORBA 
CPI 
C/S 
CSSM 
DDN 
DGSA 
DISA 
DISSP 
DMZ 
DOTS 
DSL 
EA 
EAP 
ECMA 
EIA 
ESSID 
FCC 
FIPS 
FT 
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缩 略 


英文 全 称 
Architecture Development Method 
Architecture Development Method Language 
Advanced Encryption Standard 
Access Point 
Asynchronous Transfer Mode 
Common Data Security Architecture 
Certified Execution 
China Financial Certification Authority 
Capability Maturity Model 
Common Object Request Broker Architecture 
Crypt Provider Interface 
Client/Service 
Common Security Service Manager 
Digital Data Network 
Defense Goal Security Architecture 
Defense Information Systems Agency 
Defense Information System Security Program 
Demilitarized Zone 
Defense Overall Transition Strategy 
Digital Subscriber Line 
Enterprise Architecture 
Extensible Authentication Protocol 
European Computer Manufactory Association 
Electronic Industry Association 
Extended Service Set Identifier 
Federal Communication Commission 
Federal Information Process Standard 


File Transfer Protocol 


中 文 翻译 


体系 结构 开发 方法 
体系 结构 描述 标记 语言 
高 级 加 密 标准 
无 线 接 入 点 

异步 传输 模式 

通用 数据 安全 体系 结构 
认证 执行 

中 国 金融 认证 中 心 

能 力 成 熟 度 模型 

公共 对 象 请 求 代理 体系 结构 
密码 服务 系统 接口 
客户 机 /服务 器 
通用 安全 服务 管理 器 
数字 数据 网 

目标 安全 体系 结构 
美国 信息 系统 防卫 局 
美国 国防 部 信息 系统 安全 计划 
停火 区 
国防 部 总 体 过 渡 策 略 
数字 用 户 线路 

企业 体系 结构 

可 扩展 认证 协议 

欧洲 计算 机 制造 商 协会 
电子 工业 协会 
扩展 服务 区 标识 符 
美国 联邦 通信 委员 会 
美国 联邦 信息 处 理 标准 
文件 传输 协议 


英文 缩写 
GUI 
HIPS 
IA-CMM 
IATRP 
IAL 
IATF 
ICMP 
IDES 
IDS 
IKE 

IP 
IPSec 
ISDN 
ISO 
ISMS 
KMI 
L2TP 
MIB 
NGSCB 
NIC 
NIST 
OSI 
P-CMM 
PDCA 
PDRR 
PDP 
PEPs 
PMI 
PP2P 
WP 
PKI 
RIP 
SMDS 
SNMP 
SPI 
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英文 全 称 


Graphical User Interface 
Host Intrusion Protection System 
INFOSEC Assessment Capability Maturity Model 


INFOSEC Assurance Training and Rating Program 


Intel Architecture Labs 

Information Assurance Technology Framework 
Internet Control Message Protocol 

Intrusion Detection Expert System 

Intrusion Detection System 

Internet Key Exchange 

Internet Protocol 

Internet Protocol Security 

Integrated Service Digital NeTwork 
International Organization for Standardization 
Information Security Management System 
Key Management Infrastructure 

Layer 2 Tunneling Protocol 

Management Information Base 

Next Generation Secure Computing Base 
Network Interface Card 

National Institute of Standards and Technology 
Open System Interconnect 

People CMM 

Plan-Do-Check-Act 
Protection-Detection-Reaction-Restore 

Policy Decision Point 

Policy Enforcement Points 

Privilege Management Infrastructure 

Point to Point Tunneling Protocol 

Point to Point Protocol 

Public Key Infrastructure 

Routing Information Protocol 

Switched Multimegabit Data Service 

Simple Network Management Protocol 


Service Provider Inferface 


中 文 翻译 


图 形 用 户 界面 
主机 入 侵 防御 系统 

信息 安全 评估 能 力 成 熟 度 模型 
信息 安全 保障 培训 和 等 级 计划 
Intel 体系 结构 实验 室 
信息 保障 技术 框架 
Internet 控制 消息 协议 

和 人 侵 检测 专家 系统 

人 侵 检 测 系统 

Internet 密 钥 交换 协议 
Internet 协议 

Internet 协议 安全 

综合 业务 数字 网 

国际 标准 化 组 织 

信息 安全 管理 体系 

密 钥 管理 基础 设施 

第 二 层 隧 道 协议 

管理 信息 库 

下 一 代 安 全 计算 基础 
网 络 接口 卡 
美国 国家 技术 标准 局 
开放 系统 互 连 

人 员 能 力 成 熟 度 模型 
规划 一 实施 一 检查 一 处 置 
保护 一 检测 一 响应 一 恢复 
策略 决策 点 

策略 实施 点 

授权 体系 

点 对 点 隧道 协议 
点 到 点 协议 

公 钥 基础 设施 

路 由 信息 协议 

可 交换 多 兆 位 数据 服务 
简单 网 络 管理 协议 

服务 提供 接口 
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SSE-CMM 
SW-CMM 
TAFIM 


TCG 
TCP 
TIA 
TOGAF 
TPM 
XDSF 
XOM 
VLAN 
VPN 
WAE 
WAN 
WDP 
WEP 
WIM 
WLAN 
WPA 
WPKI 
WSP 
WTLS 
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英文 全 称 


Systems Security Engineering Capability Maturity Model 
Software Capability Maturity Model 


Technical Architecture Framework of Information 


Management 
Trusted Computing Group 
Trusted Computing Platforms 


Communication Industry Association 


Technical Open Group Architecture Framework 


Trusted Platform Module 

X Distributed System Framework 
Execute-only Memory 

Virtual Local Araa Network 
Virtual Private Network 

Wireless Application Environment 
Wide Area Network 

Wireless Data Protocol 

Wired Equivalent Privacy 
Wireless Identifier Module 
Wireless Local Area Network 
WiFi Protected Access 

Wireless Public Key Infrastructure 
Wireless Session Protocol 


Wireless Transport Layer Security 


中 文 翻译 


系统 安全 工程 一 能 力 成 熟 度 模型 
软件 能 力 成 熟 度 模型 


信息 管理 技术 体系 结构 框架 


可 信 计 算 组 织 

可 信 计 算 平台 

通信 工业 协会 

开放 组 织 体系 结构 框架 
可 信 平 台 模块 

分 布 式 系统 安全 框架 
仅 执行 内 存 
虚拟 局 域 网 

虚拟 专用 网 

无 线 应 用 环境 
广域网 

无 线 数据 报 协议 

有 线 等 效 保密 

无 线 身份 识别 模块 
无 线 局 域 网 

WirFi 保护 访问 
无 线 公 钥 基 础 设施 
无 线 会 话 协议 

无 线 传输 层 安全 
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电话 : 010-62770175-4608/4409 邮购 电话 : 010-62786544 


教材 名 称 : 信息 安全 体系 结构 
ISBN: 978-7-302-17072-3 


年 龄 : 所 在 院 校 /专业 : 

通信 地 址 : 

电子 信箱 : 
您 使 用 本 书 是 作为 : 口 指定 教材 口 选用 教材 口 辅导 教材 口 自学 教材 
您 对 本 书 封面 设计 的 满意 度 : 
很 满意 口 满意 口 一 般 口 不 满意 改进 建议 
您 对 本 书 印刷 质量 的 满意 度 : 
很 满意 口 满意 口 一 般 口 不 满意 改进 建议 


您 对 本 书 的 总 体 满意 度 : 

从 语言 质量 角度 看 口 很 满意 口 满意 口 一 般 口 不 满意 
从 科技 含量 角度 看 口 很 满意 口 满意 口 一 般 口 不 满意 
本 书 最 令 您 满意 的 是 : 
指导 明确 口内 容 充 实 口 讲解 详尽 口 实例 丰富 
您 认为 本 书 在 哪些 地 方 应 进行 修改 ? 〈 可 附 页 ) 


您 希望 本 书 在 哪些 方面 进行 改进 ? 《可 附 页 ) 


电子 教案 支持 


敬爱 的 教师 : 

为 了 配合 本 课程 的 教学 需要 ， 本 教材 配 有 配套 的 电子 教案 (素材 )， 有 需求 的 教师 可 以 
与 我 们 联系 ， 我 们 将 向 使 用 本 教材 进行 教学 的 教师 免费 赠送 电子 教案 (素材 )， 希 望 有 助 于 
教学 活动 的 开展 。 相 关 信 息 请 拨打 电话 010-62776969 或 发 送 电子 邮件 至 
jsjc@tuptsinghuaedu.cn 咨询 ， 也 可 以 到 清华 大 学 出 版 社 主页 (http-/wwwtup.comcn 或 
http://www.tup.tsinghua.edu.cn) 上 查询 。 


